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本 书 以 校园 网 建设 项 目 为 背景 ,以 校园 网 的 主体 拓扑 结构 作为 研究 学 习 对 象 , 以 路 由 与 交换 技术 为 核 
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信息 技术 的 演进 与 发 展 和 社会 的 变革 与 进步 交织 交融 ,相互 促进 。 计 算 机 网 络 技 术 是 
信息 技术 的 核心 ,大 规模 集成 电路 数据库 ,操作 系统 等 技术 的 快速 发 展 推动 网 络 技术 不 断 
变革 ,螺旋 式 发 展 ,先后 经 历 单机 /局 域 网 、 城 域 网 /广域网 、 互 联网 /移动 互联 网 \、 云 计算 / 物 
联网 等 发 展 阶 段 ,并 逐步 进入 到 万 物 互联 /智慧 互通 时 代 。 人 和 伴随 通信 技术 、 信 息 技 术 的 持续 
发 展 和 广泛 应 用 ,已 经 形成 包含 移动 互联 网 、 云 计算 、 物 联网 、 大 数据 等 相互 交织 的 普 适 网 络 
环境 。 在 这 种 网 络 环境 下 ,众生 出 新 的 信息 传播 方式 和 信息 服务 模式 ,深刻 改变 着 人 们 的 学 
习 、 生 活 和 工作 方式 。 

在 这 种 背景 下 ,位 于 服务 部 中 的 数据 如 何 才 能 有 效 传 递 到 网 络 边缘 的 用 户 终 端 为 用 户 
提供 更 好 的 服务 呢 ? 就 像 人 身体 中 血液 由 心脏 通过 不 同 的 脏 需 和 血管 到 达 全 身 一 样 ,数据 
包 从 服务 器 出 发 也 要 经 过 许多 不 同 的 网 络 设 备 和 链 路 最 终 到 达 用 户 终端 。 那 么 ,数据 包 如 
何在 不 同 的 网 络 设备 和 链 路 上 进行 传递 .转发 呢 ? 这 就 需要 网 络 管理 员 制 定 一 系列 转发 规 
则 ,大 家 都 遵守 这 些 规则 , 即 网 络 协议 ,包括 子 网 间 的 路 由 协议 和 子 网 内 的 交换 协议 。 因 此 ， 
路 由 与 交换 技术 是 计算 机 网 络 相 关 技 术 的 核心 和 基础 ,读者 掌握 这 门 技术 对 于 后 续 课 程 的 
学 习 具 有 重要 意义 。 

本 书 共 12 章 ,主要 内 容 如 下 : 

第 1 章 为 计算 机 网 络 基础 。 站 在 计算 机 网 络 演变 与 发 展 的 角度 ,系统 总 结 了 计算 机 网 
络 的 历史 与 发 展 趋势 ,然后 从 计算 机 网 络 的 OSI 参考 模型 和 TCP/IP 参考 模型 两 个 方面 总 
结 了 计算 机 网 络 的 体系 结构 ; 随后 介绍 了 几 种 常见 的 计算 机 网 络 典 型 协议 ; 在 此 基础 上 ， 
详细 介绍 了 IP 地址 的 表示 与 子 网 划分 方法 ,最 后 给 出 本 书 常 用 网 络 命令 与 工具 的 使 用 
pi 

第 2 章 为 校园 网 项 目 设计 与 子 项 目 分 解 。 针 对 校园 网 项 目 规 划 与 设计 ,从 网 络 平台 、 功 
能 与 性 能 .硬件 选 配 .软件 集成 、 综 合 布线 和 网 络 管理 等 方面 全 面 分 析 了 校园 网 建设 项 目的 
需求 ; 然后 从 核心 层 . 汇 聚 层 . 接 人 层 三 个 层面 介绍 校园 网 拓扑 结构 的 设计 方法 ; 最 后 从 路 


由 、 交 换 、 安 全 和 出 口 等 方面 对 校园 网 网 络 建设 项 目 进行 子 项 目 分 解 ,以 适应 本 书 的 内 容 
安排 。 


第 3 章 为 思科 网 络 设备 与 操作 系统 。 思 科 网 络 设备 主要 指 路 由 器 和 交换 机 ,其 操作 系 
统 均 为 Cisco IOS; 本 章 首 先 介绍 这 两 种 网 络 设备 的 外 观 、 接 口 编码 规则 ;然后 给 出 Cisco 
IOS 的 基本 操作 与 配置 方法 ,包括 各 种 模式 的 切换 、 命 令 提示 与 缩写 .各 类 快捷 键 的 使 用 、 接 
口 的 配置 方法 等 ; 最 后 介绍 Cisco 发 现 协议 的 配置 和 验证 方法 ,通过 该 协议 可 以 构建 网 络 拓 
扑 结构 ， 

第 4 章 为 路 由 选择 原理 与 静态 路 由 协议 。 本 章 开始 路 由 协议 部 分 的 介绍 ,首先 阐述 为 
什么 需要 路 由 ,然后 介绍 路 由 选择 原理 和 数据 转发 原理 ,以 及 路 由 表 的 结构 与 查 表 原 则 ,再 
从 不 同 角度 分 析 路 由 协议 的 分 类 方法 ; 在 此 基础 上 ,介绍 静态 路 由 协议 .默认 路 由 协议 、 浮 
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动静 态 路 由 协议 的 原理 与 配置 方法 ,最 后 介绍 排 错 技巧 和 实战 演练 项 目 。 

第 5 章 为 路 由 信息 协议 与 配置 方法 。 首 先 阐述 为 什么 需要 路 由 信息 协议 C(RIP) ,并 介 
绍 距 离 矢 量 路 由 协议 的 原理 .路 由 环 路 问题 及 解决 办 法 ,然后 从 RIP 计时 器 ,路 由 表 条 目 、 
两 种 版 本 、 认 证 .汇总 `. 更 新 等 方面 介绍 RIP. 协议 的 原理 ; 接着 介绍 RIP 的 配置 与 测试 方 
法 ,RIP 手动 汇总 以 及 RIP 的 认证 与 更 新 的 配置 方法 ,最 后 给 出 实战 演练 项 目 。 

第 6 章 为 增强 型 内 部 网 关 路 由 协议 与 配置 方法 。 首 先 阐述 为 什么 需要 增强 型 内 部 网 关 
路 由 协议 (EIGRP) ,然后 介绍 EIGRP 工作 原理 主要 特征 ,三 个 表 、 数 据 分 组 类 型 命令 语 
法 和 协议 总 结 ; 接着 通过 实例 介绍 EIGRP 协议 的 配置 与 测试 方法 ,最 后 给 出 实战 演练 
项 目 。 

第 7 章 为 开放 式 最 短路 径 优先 协议 与 配置 方法 。 首 先 阐述 为 什么 需要 开放 式 最 短路 径 
优先 协议 (OSPF) ,然后 从 OSPF 特性 .数据 包 类 型 .网络 类 型 区域. 路 由 器 类 型 . 链 路 状态 
类 型 认证 .汇总 等 方面 系统 介绍 OSPF 协议 工作 原理 ; 接着 从 点 对 点 网 络 和 广播 网 络 两 方 
面 介 绍 单 区 域 OSPF 协议 配置 方法 ; 从 人 商 单 口令 认证 和 MD5 认证 两 方面 介绍 OSPF 认证 
方法 ,还 介绍 了 不 连续 区 域 的 多 区 域 OSPF 配置 方法 ,最 后 给 出 实战 演练 项 目 。 

第 8 章 为 交换 技术 与 交换 机 配置 方法 。 首 先 阐述 在 有 路 由 的 前 提 下 为 什么 需要 交换 ， 
然后 介绍 交换 原理 与 交换 机 的 功能 ,接着 介绍 交换 网 络 中 的 元 余 环 路 问题 及 解决 方法 ,生成 
树 协议 的 工作 原理 与 端口 状态 ; 在 此 基础 上 ,介绍 交换 机 的 基本 配置 方法 和 排 错 思路 ,最 后 
给 出 实战 演练 项 目 。 

第 9 章 为 VLAN, Trunk, VTP 协议 与 配置 方法 。 首先 阐述 为 什么 需要 VLAN, 
Trunk, VTP 协议 ,然后 从 VLAN 实现 方法 成 员 模 式 标识 方法 等 方面 介绍 VLAN 原理 与 
配置 方法 ; 从 Trunk 概念 ,应 用 ,实现 方式 等 方面 介绍 Trunk 原理 与 配置 方法 ,从 VTP R 
式 工作 原理 等 方面 介绍 VTP 协议 的 原理 与 配置 方法 ,最 后 给 出 实战 演练 项 目 。 

第 10 H VLAN 间 路 由 与 配置 方法 。 首 先 曾 述 为 什么 需要 VLAN 间 路 由 ,然后 介绍 
VLAN 间 路 由 的 物理 和 人 逻辑 实现 方法 , 子 接口 与 单 辟 路 由 的 工作 原理 ,以 及 单 辟 路 由 的 配 
置 与 排 错 方法 ; 接着 介绍 交换 虚拟 接口 和 三 层 交 换 原理 ,以 及 三 层 交 换 实现 VLAN 的 配置 
与 排 错 方法 ; 最 后 给 出 实战 演练 项 目 。 

第 11 章 为 访问 控制 列表 与 配置 方法 。 首 先 阐述 为 什么 需要 访问 控制 列表 (ACL) , 然 

后 介绍 ACL 的 工作 原理 、 使 用 原则 .类 型 和 注意 事项 ; 接着 介绍 标准 ACL 的 原理 和 配置 方 
kd 展 ACL 的 原理 和 配置 方法 ; 最 后 给 出 实战 演练 项 目 。 

第 12 章 为 网 络 地 址 转换 与 配置 方法 。 首 先 曾 述 为 什么 需要 网 络 地 址 转换 CNAT) , 然 
后 介绍 静态 NAT 原理 与 配置 方法 ,动态 NAT 原理 与 配置 方法 ,以 及 应 口 复 用 PAT 原理 与 
配置 方法 ; 接着 通过 四 个 具体 的 项 目 做 出 NAT 典型 应 用 分 析 ,最 后 给 出 实战 演练 项 目 。 

为 了 方便 读者 在 无 真 机 的 情况 下 进行 学 习 和 实践 ,本 书 最 后 给 出 一 个 附录 ,Cisco 实验 
模拟 絮 安 装 与 使 用 。 详 细 介 绍 了 了 Cisco Packet Tracer 的 安装 步骤 与 使 用 方法 ,以 方便 初学 
者 进行 模拟 实验 ; 然后 系统 介绍 了 功能 全 面 的 EVE-NG 的 安装 步骤 与 使 用 方法 ,近似 模拟 
真 机 环境 ,以 方便 读者 完成 本 书 所 有 实验 内 容 。 

本 书 内 容 系 统 性 强 ,逻辑 结构 清晰 ,理论 知识 简洁 , 紧 紧 围绕 校园 网 建设 项 目 , 以 校园 网 
的 主体 拓扑 结构 作为 研究 学 习 对 象 。 面 向 校园 网 的 实际 建设 需求 ,从 主体 拓扑 结构 延伸 出 
路 由 技术 、 交 换 技术 、 局 域 网 管理 三 大 子 项 目 , 每 个 子 项 目 包 含 多 个 协议 知识 点 ,这 些 知 识 点 


BI A 


独立 成 章 。 因 此 ,本 书 既 具有 很 强 的 整体 性 ,各 章 又 具有 相对 独立 性 ,各 章 知识 点 和 校园 网 
整体 项 目 紧密 结合 .融会 贯通 ,充分 突出 所 学 知识 点 的 实用 性 。 每 章 的 编写 也 极 具 特色 , 首 
先 以 知识 点 之 问 开篇 ,以 实际 应 用 需求 为 背景 阐述 为 什么 需要 学 习 该 知识 点 ,然后 以 基本 概 
念 .工作 原理 .实例 配置 方法 、 排 错 方法 ,以 及 实战 演练 等 内 容 为 核心 主线 贯穿 每 一 章 , 让 读 
者 以 清晰 的 步骤 了 解 每 个 知识 点 “为 什么 .是 什么 .怎么 做 、 何 总 结 ”。 通 过 本 书 知识 点 的 介 
绍 ,结合 实验 室 真 机 或 模拟 软件 的 实验 操作 ,让 读者 充分 理论 联系 实际 , 既 建立 校园 网 整体 
全 局 观 ,又 掌握 每 个 知识 点 在 实际 应 用 中 的 配置 与 分 析 方法 ,全 面 提升 读者 的 实践 动手 
能 力 。 

本 书 主要 由 能 金波 教授 、 刘 西蒙 研究 员 完成 ,是 能 金波 教授 团队 多 年 来 在 木 科 课堂 教学 
方面 的 思考 与 总 结 。 除 封面 署名 作者 以 外 ,本 书 作者 还 有 叶 阿 勇 . 林 晖 、 金 彪 、 泉 考 、 左 瑞 娟 、 
赖 会 起 。 在 编写 本 书 过 程 中 得 到 王 嘉 凡 , 张 家 久 、 陈 前 昕 . 陈 卓 林 、 陈 秀 华 ERE KONR, 
吴 晓 华 等 学 生 的 协助 ,他 们 做 了 大 量 细 致 的 工作 ,在 此 表示 更 心 感谢 ! 本 书 部 分 内 容 参考 网 
络 资料 ,对 原作 者 表示 衷心 感谢 ! 最 后 感谢 清华 大 学 出 版 社 的 大 力 支持 ,对 为 本 书 出 版 的 所 
有 相关 人 员 的 辛勤 工作 表示 更 心 感谢 。 

本 书 的 出 版 得 到 福建 省 本 科 高 校 教育 教学 改革 研究 项 目 ( 结 合 “六 卓越 一 拔尖 计划 ” 
2. 0 版 推进 本 科 人 才 培 养 改 革 创新 研究 )(FBJG20180279) 的 支持 和 资助 。 
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妥 之 处 , 敬 请 各 位 读者 赐教 与 指正 。 


能 金波 
中 国 。 福 州 
2019 年 10 H 


1.1 


1.2 


1.3 


1.4 


eoa AXEIBMIBHUGESE TINH A ME e EEEE 


ó. l 


PLN RE EAN ERR 
1.1.2 城 域 网 /广域网 pe 
1.1.3 五 联网 /移动 互联 网 pp 
二 
和 


] ARP 
DNS 


DHCP 
5 FTP 
6 Telnet 
T 


= =e e e ae a Ln 


1.5.1 ipconfig 


1.5.» ping "rrr PP—PrrrrrrrrrrrwwPwP0—w0w—0wn  ., 
1.5.3 tracert ***+*rssesssssesssssssssssessessessessssssesessssssesssssssessssssessessessess 


FU E) dc 


" 
| 


TETP woe sss hh hh a te. 
13:87 5T i = TOT OPO OT 


- 


Y Y N N PD n 
e e N e O m 


* 26 


26 


" 26 
.. zT 
e 27 


VI 


NF 


路 由 人 交换 技术 与 实验 


d. 


Z. À 


2. 1.4 软件 系统 与 集成 需求 


2.1.5 综合 布线 与 机 房 建设 需 习 


2.1.6 网 络 管理 与 安全 需求 
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2.2.1 核心 层 设计 …… 
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计算 机 网 络 基础 


计算 机 网 络 改变 了 我 们 认 知 世界 的 方式 ,尤其 是 移动 互联 网 的 发 展 和 广泛 应 用 ,成 就 了 
现代 年 轻 人 全 新 的 生活 方式 ,与 我 们 的 学 习 和 生活 息息相关 ,可 以 说 我 们 每 天 的 生活 都 离 不 
开 计 算 机 网 络 , 离 不 开 移动 互联 网 。 本 书 的 读者 都 已 经 学 习 过 计算 机 网 络 这 门 课 了 ,本 章 对 
计算 机 网 络 技术 的 核心 基础 知识 进行 系统 的 归纳 总 结 , 包 括 计 算 机 网 络 的 发 展 历 史 体系 结 
构 、 典 型 协议 ,IP 地 址 与 子 网 划分 、 地 址 解析 协议 ,介绍 常用 的 网 络 命 令 与 工具 的 使 用 。 上 
述 概念 是 后 续 守 习 和 实践 网 络 协议 的 基础 。 


1.1 计算 机 网 络 发 展 历史 与 趋势 


谈 到 计算 机 网 络 ,我 们 郡 不 卫生。 先后 经 历 单机 / 局域网 , 城 域 网 /广域网 ` 互 联网 /移动 
互联 网 . 云 计 算 / 物 联网 等 发 展 阶段 ,并 逐步 进入 万 物 互 联 / 答 意 互通 时 代 。 下 面向 要 概述 各 
个 发 展 阶段 的 历程 和 主要 特征 。 


1.1.1 单机 /局 域 网 时 代 


1946 F REHE TE REHA JE Y ACERBA WR BU X6 BI si" CENIAO ,开局 了 人 
类 使 用 计算 机 的 历史 新 纪元 。 此 后 ,计算 机 的 人 研究 与 使 用 得 到 迅速 发 展 n £693 T Fa TA 
字 计 算 机 、 品 体 管 数字 计算 机 、 集 成 电路 数字 计算 机 .大 规模 集成 电路 数字 计算 机 四 个 阶段 。 

最 早 的 计算 机 网 络 可 以 追溯 到 1967 年 由 美国 国防 部 高 级 人 研 究 计 划 署 (ARPA) 信 息 处 
理 处 长 Lawrence Roberts 领衔 开发 的 ARPAnet, 最初 由 美国 的 加 州 大 学 洛杉矶 分 校 
(UCLA) .斯 坦 福 研 究 院 (SRI) 、 加 州 大 学 圣 巴 巴 拉 分 校 (UCSB) 和 犹他 大 学 (UTAH) 共 4 
个 厄 点 构成 ,是 世界 上 最 早 的 分 组 交换 网 络 , 是 现代 局 域 网 (LAN) 的 锥 形 。 然 而 ,该 网 无 法 
连接 个 人 计算 机 。1969 年 ,ARPA 赞助 夏威夷 大 学 Norman Abramson 2 f JF Æ X Us PE 4j 
组 无 线 网 络 , 于 1971 年 成 功 建立 ALOHAnet, 实 现 将 个 人 计算 机 组 成 局 域 网 。1973 年 ， 
Bob Metcalfe 对 ALOHAnet 的 随机 访问 广播 介质 机 制 和 包 冲 突 重 传 机 制 进行 优化 ,编写 了 
以 太 网 备忘录 ,ALOHAnet 后 来 改名 为 以 太 网 (Ethernet) ,实施 局 域 网 包 交 换 协 议 。 同 年 ， 
Vint Cerf 和 Bob Kahn 开始 思考 如 何 将 不 同 协议 的 ARPAnet、ALOHAnet 和 卫星 网 络 
SA Tnet 进行 连接 ,后 来 创造 出 TCP/IP 协议 。1976 年 ,Bob Metcalfe 和 David Boggs 共同 
发 表 了 《以 太 网 ; 局 域 计 算 机 网 络 的 分 布 式 包 交 换 技 术 》 的 文章 ,以 太 网 技术 正式 发 表 。 随 
后 ,Bob Metcalfe WR H A F 1977 年 底 开 发 出 带 冲 突 检 测 的 载波 监听 多 路 访问 协议 
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(CSMA/CD) ,使 以 太 网 相关 理论 与 技术 被 学 术 界 和 工业 界 广 谤 接受 并 走 癌 标准 化 。 

随 着 交换 技术 的 发 展 和 高 速 交 换 机 的 诞生 ,交换 式 以 太 网 Da DUK Pl E JE /73 JE UK. 
网 .全 光纤 网 等 高 速 . 超 高 速 网 络 技术 得 到 快速 发 展 与 应 用 ,局 域 网 蓬勃 发 展 , 不 仅 能 够 通过 
交换 机 连接 不 同 的 计算 机 和 服务 右 实 现 资 源 共 至 、 文 件 管理 等 简单 功能 ,还 能 够 通过 不 同 的 
线 绕 将 大 量 的 网 络 设备 、 各 类 终端 和 服务 帮 等 互联 成 一 个 整体 ,组 成 如 学 校 校园 网 、 高 新 区 
园区 网 等 大 型 现代 化 高 速 局 域 网 ,为 人 们 提供 便捷 的 网 络 服务 。 


1.1.2 城 域 网 /广域网 


随 者 局 域 网 互联 和 数据 新 业务 的 快速 发 展 , 一 种 主要 面 品 企业 用 户 的 .最 大 可 和 履 盖 城市 
及 其 郊区 范围 的 城 域 网 络 (Metropolitan Area Network) 诞 生 。 城 域 网 支持 多 种 通信 协议 ， 
采用 具有 有 源 交 换 元 件 的 局 域 网 技术 ,并 以 较 小 的 传输 时 延 ,100Mb/s 以 上 的 传输 速率 为 
多 元 化 的 业务 类 型 提供 网 络 保障 。 城 域 网 络 分 为 3 个 层次 : 核心 层 、 汇 聚 层 和 接 入 层 。 核 
心 层 主要 提供 高 带宽 的 业务 承载 和 传输 ,完成 和 已 有 网 络 的 互联 互通 ; 汇聚 层 主 要 完成 用 
户 业 务 数据 的 汇聚 和 分 发 处 理 , 以 及 业务 的 服务 等 级 分 类 ; 接 入 层 则 利用 多 种 接 入 技术 进 
行 宽 审 和 业务 的 分 配 ,实现 业务 的 复 用 和 传输 。 

技术 的 发 展 和 需求 的 增加 促进 了 业务 种 类 不 断 推 陈 出 新 。 从 传统 的 声音 服务 到 图 像 和 
视频 服务 ,从 基础 的 视听 服务 到 各 种 各 样 的 增值 服务 ,从 64kb/s 的 基础 服务 到 2. 5Gbys、 
10Gb/s 的 租 线 服 务 ,多 元 化 的 服务 类 型 满足 不 同 的 服务 需求 。 然 而 ,每 种 类 型 的 服务 要 求 
的 服务 等 级 不 同 ,安全 保护 级 别 也 不 同 , 对 城 域 网 的 综合 接 人 和 处 理 也 提出 了 较 高 的 要 求 。 
宽带 城 域 网 是 城 域 网 的 典型 应 用 ,其 以 IP 和 ATM 电信 技术 为 基础 ,以 光纤 作为 传输 介质 ， 
文 持 数据 传输 \、 语 首 视频 等 多 元 化 的 服务 应 用 。 筑 市 城 域 网 的 出 现 给 我 们 的 生活 市 来 了 许 
多 便利 ,高 速 上 网 .视频 通话 、 网 络 电视 .远程 会 议 .远程 监控 .交易 系统 等 这 些 我 们 频繁 使 用 
的 各 种 互联 网 应 用 , 正 是 得 益 于 城 域 网 的 快速 发 展 。 随 着 互联 网 业务 及 各 种 增值 业务 的 不 
断 发 展 , 城 域 网 要 求 的 带宽 也 越 来 越 完 ,因此 分 组 化 网 络 了 逐渐 成 为 业务 发 展 的 趋势 。 

为 了 实现 不 同 地 区 的 局 域 网 或 城 域 网 的 互联 和 互通 ,达到 资源 更 广泛 共 侍 的 目的 , 广 沁 分 
布 的 局 域 网 之 间 通 过 公用 分 组 交换 、 卫 星 通信 和 无 线 分 组 交换 等 技术 进行 相互 连通 ,进而 形 
成 了 广域网 (Wide Area Network. WAN). J EPY B5] 283 i vt. He] B X» — x T] AJ JL T TOR 
EJLA FOR AIR CS ELS b XB DC, P5) 4 rp m 4 SE BLTAUBUES h A H T IJI 3» HX JE H. 
文 持 多 个 地 区 、 国 家 之 间 远 距离 通信 ,形成 国际 性 互联 网 。 广 域 网 的 重要 组 成 部 分 是 通信 子 
网 ,包括 公用 电话 交换 网 络 (PSTN)、 数 字数 据 网 (DDN) 、 分 组 交换 数据 网 (X. 25)、 帧 中 继 
(Frame Relay) .综合 业务 数据 网 (ISDN) 和 交换 多 兆 位 数据 服务 (SMDS) 等 。 


1.1.3 互联 网 /移动 互联 网 


1984 年 12 月 ,思科 系统 公司 在 美国 成 立 ,1986 年 3 月 ,思科 通过 向 犹他 州 州立 大 学 提 
Bt er HS 95 — x EH ^im AGSOoEIN SH AE S80 ,确立 了 网 络 通信 行业 和 互联 网 的 发 展 方 
回 。1993 年 ,世界 上 出 现 一 个 由 1000 侣 思科 路 由 天 连 成 的 庞大 互联 网 络 , 互 联网 从 此 进入 
快速 发 展 时 期 。 

互联 网 是 网 络 与 网 络 之 间 所 串联 而 成 的 庞大 网 络 , 这 些 网 络 以 一 组 通用 的 协议 实现 互 
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联 , 沪 上 总 写 分 娃 全 球 的 信息 资源 ,进而 形成 巨大 的 国际 网 络 。20 世纪 90 年 代 , 各 种 Internet 
服务 提供 商 (Internet Service Provider,ISP) 的 涌现 极 大 地 推进 了 Internet 的 普及 和 发 展 。 
用 户 可 以 通过 ISP BEA HRK INE, 3552 H8, YF BTE LIH E E. Ae LAUS TS 8 Sy Internet 应 用 市 来 的 
服务 体验 与 便利 。 同 时 ,互联 网 的 快速 发 展 也 促进 了 应 用 服务 的 多 元 化 发 展 。 因 此 ,互联 网 
的 出 现 极 大 地 促进 了 国家 的 经 济 发 展 。 

移动 互联 网 是 移动 通信 了 网络 与 互联 网 相互 结合 的 产物 ,使 得 移动 往 能 终 疹 能 够 通过 无 
线 网 络 对 互联 网 进行 访问 ,进而 极 大 改变 了 了 人们 的 生活 方式 与 工作 模式 。 从 20 世纪 80 年 
代 中 期 开始 ,移动 通信 技术 的 发 展 先后 经 历 了 2G.2. 5G、3G、4G 等 阶段 ,现在 已 经 进入 5G 
阶段 。 

2G 是 第 二 代 移 动 通信 技术 的 简称 ,以 数字 语音 通信 技术 为 核心 ,其 主要 业务 功能 是 个 
人 通话 和 短信 互 发 。 在 2G WARE E 3G 时 代 的 发 展 历 程 中 ,2. 5G 的 出 现 使 得 用 户 能 够 通 
过 高 速 无 线 IP A X. 25 分 组 数据 接 入 服务 访问 数据 网 络 , 典 型 代表 为 通用 分 组 无 线 服务 技 
Ñ (General Packet Radio Service, GPRS), 

3G Ze 1H 58 ZAE ZIDBL fei BOR , 它 不 仅 文 持 语 音 通话 .短信 息 , 而 且 提 供 网 页 浏览 .电话 
会 议 .电子 商务 等 多 种 信息 服务 ,在 第 二 代 移 动 通信 技术 的 基础 上 ,3G 以 宽带 CDMA 技术 
为 主 , 文 持 高 速 数据 传输 和 宽带 多 媒体 服务 ,其 主要 标准 有 欧洲 的 WCDMA (Wideband 
Code Division Multiple Access) ,美国 的 CDMA2000(Code Division Multiple Access 2000) 
和 我 国有 具有 日 主 知 识 产 权 的 TD-SCDMA (Time Division-Synchronous Code Division 
Multiple Access), M 3G 时 代 开 始 ,移动 互联 网 成 为 发 展 趋 势 ， 

4G 是 指 第 四 代 移 动 通信 技术 ,核心 技术 包括 TD-LTE 和 FDD-LTE 两 种 制式 。4G 能 
够 以 100Mb/s 以 上 的 速度 快速 传输 和 下 载 数 据 . 音 视频 和 图 像 等 信息 资源 ,几乎 能 够 满足 
所 有 用 户 对 于 无 线 服务 的 日 党 需求 。 随 着 4G 的 快速 发 展 ,移动 互联 网 成 为 发 展 主 流 。 

5G 是 指 第 五 代 移 动 通信 技术 ,其 峰值 理论 传输 速度 可 达 10Gb/s。 随 着 5G 技术 的 诞 
生 , 用 智能 终端 分 享 3D 电影 以 及 超 高 清音 视频 的 时 代 已 向 我 们 走 来 。 目 前 ,中 国联 通 \ 中 
国 移动 .中 国电 信 三 大 运营 商 已 在 全 国 几 十 个 城市 展开 5G 试点 工作 。2019 年 6 月 6 日 ,我 
国 工 业 和 信息 化 部 正式 回 中 国电 信 、 中 国 移动 .中 国联 通 、. 中 国 广 电 发 放 5G 商用 牌照 。 我 
国正 式 进 入 5G 商用 元 年 。 


1.1.4 云 计 算 / 物 联网 


公认 的 云 计 算 先 驱 可 追溯 到 1999 年 Saleforce. com 公司 推出 的 客户 关系 管理 系统 
(Customer Relationship Management), Æ 21 世纪 的 第 一 个 10 年 内 , Amazon 相继 推出 
Amazon Web Services zz il $EoE S. MEAS (Simple Storage Service,S3) 和 弹性 计算 
zx (Elastic Compute Cloud,EC2) 等 云 服 务 。 随 看 虚拟 现实 技术 、SOA ,SaaS 应 用 的 快速 发 
展 , 云 计算 作为 一 种 新 兴 的 资源 使 用 和 交互 模式 掀起 了 第 三 次 IT IR. 

从 云 计 算 概 念 的 提出 到 现在 , 云 计算 的 发 展 主要 分 为 四 个 阶段 : 电厂 模式 阶段 ,效应 计 
算 阶 段 、 网 格 计算 阶段 和 云 计算 阶段 。 

CD 电厂 模式 阶段 。 电 厂 模式 利用 电厂 的 规模 效应 ,沿用 降低 电力 价格 的 方式 ,将 大 量 
分 散 资 源 集中 在 一 起 ,进行 规模 化 管理 以 降低 成 本 ,方便 用 户 使 用 。 

(2) 效应 计算 阶段 。 效 应 计算 的 概念 由 人 工 智能 之 父 麦肯锡 于 1961 年 首次 提出 ,其 思 
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想 核 心 为 电厂 模式 。 通 过 集中 管理 分 散 的 服务 带 ,存储 系 统 以 及 应 用 程序 等 资源 ,用 户 可 根 
据 按 需 索 取 和 计量 付费 的 方式 进行 资源 共享 。 受 限于 IT 技术 的 不 成 熟 , 效 应 计算 未 能 充 
分 发 挥 价 值 。 

(3) 网 格 计算 阶段 。 网 格 计算 的 核心 思想 是 通过 将 庞大 的 计算 问题 以 拆 分 的 方式 ,分 
割 成 许多 小 部 分 ,进而 分 配给 一 些 低 性 能 的 计算 机 进行 处 理 。 由 于 网 格 计算 在 商业 模式 、 技 
术 和 安全 性 方面 的 不 足 ,使 其 未 能 在 工程 界 和 商业 界 占 领 一 席 之 位 。 

(4) 云 计 算 阶 段 。 云 计算 的 核心 与 效用 计算 和 网 格 计 算 十 分 相似 ,同样 以 资源 共享 、 降 
低 成 本 为 目标 ,使 得 用 户 像 使 用 电力 那样 方便 地 获取 共享 资源 。 随 着 需求 规模 的 扩展 ,技术 
处 理 的 提高 , 云 计算 进入 迄 独 发 展 时 期 。 

从 1999 年 美国 Auto-ID 首次 提出 “ 物 联网 ”的 理念 到 2005 年 国际 电信 联盟 
(International Telecommunication Union ,ITU) 发 布 4ITU 互联 网 报告 2005: T EX Id» AH 
书 , 物 联网 以 “ 物 物 相连 的 互联 网 ”成 为 新 一 代 信 息 技 术 的 重要 组 成 部 分 。 

物 联网 在 互联 网 基础 上 进行 延伸 和 扩展 ,让 所 有 能 独立 行使 功能 的 普通 物体 之 间 实 现 
互联 互通 。 物 联网 通过 NFC, E RFID 等 技术 进行 对 象 信 息 标 识 , 并 借助 云 计 算 平 台 
和 传感器 网 络 实现 对 象 智能 控制 。 随 着 物 联网 技术 的 不 断 发 展 和 市 场 规 模 的 不 断 扩 大 ,已 
经 成 为 全 球 各 国 的 技术 及 产业 创新 的 重要 战略 。 物 联网 借助 先进 的 信息 处 理 技术 ,结合 云 
计算 、 移 动 互 联网 等 货源 ,实现 在 更 大 的 范围 内 解决 信息 扳 马 问题 。 目 前, 物 联 网 已 广汉 应 
用 于 智能 交通 .公共 安全 、 环 境 监 测 A BEBE. 工业 监控 等 领域 , 极 大 程度 上 推动 全 球 经 济 
发 展 ,改变 社会 生活 方式 。 


4.2 计算 机 网 络 体系 结构 


计算 机 网 络 体系 结构 可 以 定义 为 计算 机 网 络 层次 模型 和 各 层次 协议 的 集合 ,同一 层 中 
的 协议 根据 该 层 所 要 实现 的 功能 来 确定 。 通 党 所 说 的 计算 机 网 络 体系 结构 , 即 在 世界 范围 
内 统一 协议 ,制定 软件 标准 和 便 件 标准 ,并 通过 精确 定义 计算 机 网 络 及 其 部 件 所 应 完成 的 功 
能 ,实现 各 个 计算 机 在 相同 的 功能 方面 进行 信息 对 接 。 第 见 的 计算 机 网 络 体系 结构 主要 有 
OSI 参考 模型 和 TCP/IP 参考 模型 。 


1.2.1 OSI 参考 模型 


OSICOpen System Interconnection ,开放 式 系 统 互联 ) 参 考 模 型 是 由 国际 标准 化 组 织 制 
定 的 网 络 模型 ,该 模型 将 网 络 通信 的 工作 划分 为 七 层 ,日 下 而 上 分 别 是 : 物理 层 数据 链 路 
层 、 网 络 层 .传输 层 、 会 证 层 、 表 示 层 以 及 应 用 层 。 

(D 物理 层 : 物理 层 的 主要 功能 是 完成 相 邻 节点 间 的 比特 流传 输 。 这 一 层 的 主要 设备 
有 中 继 颖 (Repeater) Ekri (Hubo S, 

(20 数据 链 路 层 : 数据 链 路 层 的 主要 功能 是 在 不 可 徘 的 物理 线路 上 进行 可 徘 传 输 。 为 
了 确保 数据 可 徘 传输 ,发送 方 将 数据 封装 成 帧 (Frame) ,并 按 顺 序 发 送 ; 接收 方 根据 发 送 方 
传输 的 帆 重 新 整合 数据 , 帧 是 数据 链 路 层 的 数据 基本 单元 。 这 一 层 的 主要 设备 有 了 网络 接 口 
卡 (Network Interface Card, NIC) ,网 桥 (Bridge) , 22 8 BL Switch) 等 。 
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(3) 网 络 层 : 网 络 层 的 主要 功能 是 完成 网 络 主机 间 的 报 文 传输 。 这 一 层 的 主要 设备 有 
路 由 器 (Router) 等 。 

(4) 传输 层 : 传输 层 实 现 两 个 用 户 进 程 间 端 到 端的 可 徘 通 信和 ,该 层 的 主要 功能 是 提供 
建立 、 维 护 和 拆除 传输 层 连 接 , 癌 网 络 层 提供 适当 的 服务 ,加 会 话 层 提供 独立 于 网 络 层 的 传 
送 服务 和 可 靠 透 明 的 数据 传输 。 

(5) 会 话 层 : 会 话 层 让 不 同 机 器 上 的 用 户 间 建立 会 话 关 系 。 该 层 的 主要 功能 是 管理 会 
话 控 制 。 

(6) 表示 层 : 表示 层 完 成 数据 压缩 或 解压 、 数 据 加 密 或 解密 等 工作 。 

(7) 应 用 层 : 应 用 层 包 含 大 量 应 用 协议 ,方便 为 用 户 提 供 通 信和 服务 ,如 超 文 本 传输 协 
议 (HTTP) ,文件 传输 协议 (FTP) .简单 邮件 传输 协议 (SMTP) 等 。 

在 OSI 网 络 体 系 结构 中 ,除了 物理 层 之 外 ,网 络 中 的 数据 以 上 下 垂直 的 方式 进行 传输 。 
数据 由 用 户 发 送 进程 发 送 给 应 用 层 , 回 下 经 表示 层 、 会 话 层 等 到 达 发 送 端 物理 层 , 再 借助 传 
输 介质 到 达 接 收 端 ,由 接收 端 物 理 层 接收 ,向 上 经 数据 链 路 层 .传输 层 等 到 达 应 用 层 ,再 由 用 
户 获 取 。 同 一 节点 内 相 邻 层次 之 间 通 过 接口 通信 ,不 同 的 节点 的 相同 层次 之 间 的 通信 由 该 
层 的 协议 进行 管理 。 


1.2.2 TCP/IP 参考 模型 


TCP/IP 参考 模型 是 最 早 的 计算 机 网 络 ARPANET 和 其 后 继 的 因特网 实际 使 用 的 参考 
模型 。 它 的 出 现 早 于 OSI 七 层 模型 ,是 目前 使 用 最 广泛 的 模型 ,原因 众多 ,例如 灵活 的 编 址 方 
案 .适用 于 大 多 数 操作 系统 和 平台 .具有 许多 工具 和 实用 程序 ,以 及 需 使 用 它 来 连接 Internet, 

(OD 网 络 接口 层 : 与 OSI 七 层 模型 的 物理 层 和 数据 链 路 层 相 对 应 ,包含 各 种 与 物理 介 
质 相 关 的 协议 ,如 ARP( 地 址 解析 协议 ) 就 运行 在 此 层 。 

(2) 网 际 层 : 与 OSI 七 层 模型 的 网 络 层 相对 应 ,主要 负责 主机 之 间 的 通信 和 路 由 选择 ， 
该 层 有 三 个 主要 协议 : IP .IGMP( 互 联网 组 管理 协议 ) 和 ICMP( 互 联网 控制 报 文 协议 ) 。 

(3) 传输 层 : 与 OSI 七 层 模型 的 传输 层 相 对 应 , 它 指 定 了 控制 网 际 层 的 协议 ,为 应 用 层 
提供 端 到 端的 通信 功能 ,TCP 协议 与 UDP 协议 均 运 行 在 该 层 。 

(4) MHE: 与 OSI 七 层 模型 的 会 话 层 、 表 示 层 .应 用 层 相 对 应 ,主要 为 用 户 提 供 各 种 
应 用 服务 ,例如 FTP、SNMP DNS、WWW 等 。 

整体 而 言 ,OSI 七 层 模型 以 数据 流 为 视角 定义 层次 ,每 层 分 得 很 清楚 ,功能 清晰 不 交叉 ， 
典型 的 教科 书 式 的 结构 ,非常 适合 学 生 学 习 和 认识 计算 机 网 络 。 在 OSI 七 层 模型 中 ,下 层 
为 上 层 提供 服务 ,上 层 以 下 层 作 为 支撑 ,该 模型 理论 上 定义 的 非常 完美 ,但 十 分 复杂 ,在 实际 
网 络 和 系统 中 难以 实现 。 因 此 ,实际 计算 机 网 络 仍然 采用 面向 应 用 的 TCP/IP 参考 模型 ,该 模 
型 以 网 络 和 协议 为 视角 ,便于 网 络 的 构建 与 协议 的 传输 ,得 到 广泛 应 用 ,成 为 主流 的 体系 结构 。 


1.3 计算 机 网 络 典型 协议 


计算 机 网 络 协议 是 为 完成 计算 机 网 络 通信 而 制定 的 规则 .约定 和 标准 。 在 网 络 模型 的 
不 同 层次 中 ,不 同 的 网 络 协议 发 挥 春 不 同 的 作用 ,共同 为 用 户 提供 所 需 的 各 种 服务 。 下 面 将 
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重点 介绍 计算 机 网 络 中 的 几 种 典型 协议 : ARP, DNS, ICMP, DHCP, FTP, Telnet 和 
TFTP. 
1.3.1 ARP 


ARP( Address Resolution Protocol, 地 址 解析 协议 ) 位 于 TCP/IP 协议 栈 中 的 网 络 层 ， 
负责 实现 从 IP 地 址 到 MAC 地 址 的 映射 , 即 询 问 目 标 IP 对 应 的 MAC 地 址 。 在 OSI 七 层 
模型 中 ,数据 经 历 从 上 至 下 的 封 闻 发 送 , 到 从 下 至 上 的 解 包 接收 的 过 程 , 上 层 ( 网 络 层 ) 所 关 
心 的 是 IP 地址 ,而 下 层 ( 物 理 层 ) 关 心 的 则 是 MAC 地 址 。 因 此 ,需要 ARP 协议 对 IP 地 址 
和 MAC 地 址 进行 映射 。ARP 协议 的 基本 功能 就 是 通过 目标 设备 的 IP 地 址 ,查询 目标 设 
备 的 MAC 地 址 ,以 保证 通信 和 能够 正常 进行 。 基 于 功能 来 考虑 ,ARP 是 链 路 层 协议 ,基于 分 
层 / 包 封装 来 考虑 ,ARP 是 网 络 层 协议 。 

结合 图 1-1, 对 ARP 的 4 种 经 典 情况 进行 详细 分 析 。 


图 1-1 ARP 应 用 分 析 


COD 发 送 方 是 主机 (如 PC1) ,要 把 卫 数 据 包 发 送 到 同一 个 网 络 上 的 另 一 台 主 机 (如 PC2)， 
这 时 PCI 发 送 ARP 请 求 分 组 (在 网 络 1 上 广播 ), 找 到 目的 主机 PC2 的 硬件 MAC 地 址 。 

(2) FOREN PCI) ,要 把 IP 数据 包 发 送 到 远 端 男 一 个 网 络 上 的 一 台 主 机 (如 
PC3 或 PC4)。 这 时 PCI 发 送 ARP 请 求 分 组 (在 网 络 1 上 广播 ) ,找到 网 络 1 上 的 一 台 路 由 
Ar R1 的 MAC 地 址 , 剩 下 的 路 由 工作 由 路 申 硕 R1 来 完成 。 

(3) 发 送 方 是 路 由 费 ( 如 R1) ,要 把 IP 数据 包 转 发 到 与 R1 连接 在 同一 个 网 络 ( 网 络 2) 
上 的 主机 (如 PC3)。 这 时 R1 发送 ARP 请 求 分 组 (在 网 络 2 上 广播 ) ,找到 目的 主机 PCS 的 
MAC 地 址 。 

(4) 发送 方 是 路 由 囊 ( 如 人 1) ,要 把 IP 数据 包 转 发 到 网 络 3 上 的 一 台 主 机 (如 PC4)， 
PC4 5 RI 不 在 同一 个 网 络 上 ,这 时 了 1 发 送 ARP 请 求 分 组 (在 网 络 2 上 广播 ) ,找到 连 
接 在 网 络 2 上 的 一 台 路 由 器 R2 的 MAC 地 址 , 剩 下 的 路 由 工作 由 这 人 台 路 由 器 R2 来 

在 本 书 实验 中 ,上 述 4 种 情况 都 会 发 生 , 常 见 的 是 使 用 路 由 协议 转发 数据 包 时 ,在 找到 
下 一 跳 路 由 之 后 ， 在 重新 封装 数据 由 时 需要 用 到 ARP 协议 获取 下 一 跳 路 由 接口 的 MAC 地 
HE ,以 完成 数据 帧 的 实际 转发 工作 。 


1.3.2 DNS 


DNS(CDomain Name System ,域名 系统 ) 是 万 维 网 上 域名 和 IP. 地 址 相互 映射 的 一 个 分 
布 式 数 据 库 ,使 用 户 更 方便 地 访问 互联 网 ,而 不 用 去 记 住 能 够 被 机 融和 直接 识别 和 该 取 的 IP 
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地 址 。 通 过 域名 ,DNS 能 够 快速 将 域名 映射 到 对 应 的 IP 地 址 上 ,该 过 程 叫 作 域 名 解析 (或 
主机 名 解析 ) DNS 协议 运行 在 UDP 协议 之 上 ,使 用 端口 号 53。RFC 文档 中 的 RFC 2181 
对 DNS 有 规范 说 明 ,REFC 2136 对 DNS 的 动态 更 新 进行 说 明 ,RFC 2308 对 DNS 查询 的 反 
向 缓存 进行 说 明 。 

在 本 书 实 验 中 ,路 由 需 均 会 自动 开启 DNS 解析 服务 。 除 了 域名 解析 外 ,DNS 还 有 另外 
一 种 功能 , 即 管理 员 在 当前 配置 文件 中 输入 错误 命令 时 ,路 由 器 将 把 它 当 作 域 名 地 址 来 处 
理 , 并 持续 解析 该 错误 地 址 ,这 个 过 程 需 要 消耗 较 长 时 间 。 为 了 避免 上 述 情况 发 生 , 可 以 在 
当前 配置 文件 的 全 局 配置 模式 下 采用 no ip domain-lookup 命令 关闭 该 解析 服务 。 此 外 ,如 
果 连 接 上 互联 网 ,可 以 直接 ping 域名 地 址 来 实现 DNS 解析 ; 或 者 在 路 由 器 或 交换 机 上 使 
用 扩展 ACL 来 阻止 部 分 子 网 或 主机 访问 DNS 服务 需 来 阻 断 其 解析 服务 。 


1.3.3 ICMP 


ICMP(Internet Control Message Protocol, 互 联网 控制 消 肯 协议 ) 是 一 种 面 癌 无 连接 的 
协议 ,用 于 在 IP 主机、 交换机、 路 由 颖 之 间 传 递 网 络 出 错 报 告 的 控制 消 肯 。 这 些 控 制 消 肯 是 
指 计 算 机 网 络 是 否 连 通 、 主 机 是 否 可 达 目 的 网 络 .路 由 是 否 可 用 等 能 够 反映 网 络 本 身 连 通 性 
H9iB E. 它们 并 不 传输 用 户 所 产生 数据 ,但 是 对 于 用 户 效 据 在 网 络 中 的 传递 控制 起 着 重要 
的 作用 。 此 外 ,它们 对 于 网 络 安全 具有 极其 重要 的 意义 。 

ICMP 是 TCP/IP 协议 族 的 一 个 子 协议 ,主要 用 于 计算 机 网 络 中 的 主机 与 路 由 硕 之 间 
传递 控制 信息 ,包括 报告 错误 .交换 受 限 控制 和 状态 信息 等 。 当 遇 到 IP 数据 无 法 访问 目的 
TIP 路 由 需 无 法 按 当 前 的 传输 速率 转发 数据 包 等 情况 时 ,路 由 需 会 目 动 发 送 ICMP 报 
文 给 主机 ,告知 主机 数据 包 的 转发 情况 。ICMP 报 文 有 两 种 类 型 : ICMP 差错 报告 报 文 和 
ICMP 询问 报 文 。 其 中 ,ICMP 差 销 报 告 报 文 分 为 五 种 : 目的 网 络 不 可 达 、 源 点 抑制 .时 间 超 
时 (目的 可 达 但 无 回程 路 由 ) .参数 问题 .改变 路 由 ( 重 定 问 ); ICMP 询问 报 文 分 为 两 种 : [nl 
送 请 求 和 回答 .时 间 戳 请 求 和 回答 。 

在 本 书 实验 中 ,ICMP 26855 38$] ping 目的 网 络 时 ping 不 通 , 这 时 要 按 ICMP 返回 消 
息 是 目的 网 络 不 可 达 还 是 时 间 超 时 来 进行 故障 排查 。 


1.3.4 DHCP 


DHCP(Dynamic Host Configuration Protocol ,动态 主机 配置 协议 ) 是 一 种 局 域 网 的 网 
络 协议 ,使 用 UDP 协议 工作 。DHCP 通 篆 被 应 用 在 大 型 的 局 域 网 络 环境 中 ,主要 有 两 种 用 
XR: 一 是 上 月 动 分 配 IP 地 址 ,使 计算 机 网 络 环 境 中 的 主机 能 够 动态 地 获得 IP 地 址 、Gateway 
地 址 .DNS llt os as Hub Af E: 二 是 集中 管理 ,网 络 管理 员 能 够 对 所 有 计算 机 实施 中 央 管 
M ,并 能 够 提升 IP 地 址 的 使 用 率 。 

DHCP 协议 采用 客户 端 /服务 副 模 型 ,主机 地 址 的 动态 分 配 任务 由 计算 机 网 络 的 主机 
驱动 , 当 DHCP 服务 需 接 收 到 来 自 网 络 主机 申请 地 址 的 请 求 信 息 时 , 才 会 向 网 络 主机 发 送 
相关 的 地 址 配置 等 信息 ,以 实现 网 络 主机 地 址 信息 的 动态 配置 。 

综 上 所 述 ,DHCP 具有 以 下 功能 : 
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COD 保证 计算 机 网 络 中 任何 一 个 TP 地 址 在 同一 时 刻 只 能 由 一 台 DHCP 客户 主机 使 用 。 

(2) DHCP RE 9e Z5 Hd P^ fies 2T BUZK A [8] E B. IP 地 址 。 

(3) DHCP 可 以 同 采 用 其 他 方法 获得 IP 地 址 的 主机 共存 (如 手工 配置 IP 地 址 的 主机 ) 。 

(4) DHCP 服务 硕 还 可 以 回 现 有 的 BOOTP X P rng te CR . 

在 本 书 实 验 中 ,可 以 将 三 层 交 换 机 配置 成 DHCP 服务 器 ,然后 给 该 交换 机 所 辖 子 网 的 
主机 有 目 动 分 配 IP 地 址 。 


1.2.9. FIF 


FTP(File Transfer Protocol, 文 件 传输 协议 ) 是 用 于 在 网 络 上 进行 文件 传输 的 一 套 标 准 
协议 ,使 用 客户 /服务 器 模式 ,文件 资源 存储 在 FTP 服务 器 上 ,用 户 可 以 使 用 FTP 客户 端 通 
过 FTP 协议 访问 服务 器 上 的 文件 资源 , 它 属 于 应 用 层 协 议 。FTP 协议 是 可 徘 传 输 协 议 ,使 
用 TCP 端口 中 的 20 和 21 这 两 个 端口 ,其 中 端口 20 用 于 传输 数据 ,端口 21 用 于 传输 控制 
信息 。 文 件 传 送 (file transfer) 和 文件 访问 (file acceso zz I8] B3 PC EET : 前 者 由 FTP 提供 ， 
后 者 由 如 NFS 等 应 用 系统 提供 。 

在 使 用 FTP 协议 传输 文件 时 , 因 需 要 先 建立 FTP 连接 ,所 以 存在 着 较 高 的 延 时 ,这 意 
味 着 ,从 开始 请 求 到 第 一 次 接收 到 所 需 数 据 之 间 的 延 时 会 比较 长 。 

在 本 书 实验 中 ,可 以 搭建 FTP 服务 器 为 子 网 用 户 提 供 文 件 传输 服务 ,此 外 ,还 可 以 在 交 
换 机 或 路 由 冀 上 配置 扩展 访问 控制 列表 ,人 允许 或 阻止 某 些 子 网 或 主机 访问 FTP 服务 。 


1.3.6 Telnet 


Telnet 协议 是 TCP/IP 协议 族 中 的 一 种 非常 重要 的 协议 ,是 Internet 远程 登录 服务 的 
标准 协议 和 主要 方式 。Telnet 协议 是 面 问 连接 的 ,基于 工 CP 协议 端口 23 工作 , 它 为 用 户 提 
供 了 在 本 地 计算 机 上 完成 控制 远程 主机 工作 的 能 力 ， 

用 户 可 以 在 终端 计算 机 上 使 用 Telnet 程序 ,用 它 远 程 连接 到 服务 副 。 用 户 可 以 在 
Telnet 程序 中 输入 命令 ,这 些 命令 会 在 服务 右上 运行 ,就 像 直 接 在 服务 器 的 控制 台 上 输入 
效果 一 样 ,在 本 地 就 能 远程 控制 还 端 服务 需 。 要 开始 一 个 Telnet 会 话 , 必 须 输入 用 户 名 和 
OSKE RKE fr» Telnet 是 篆 用 的 远程 控制 Web 服务 天 的 方法 。 

在 本 书 实验 中 ,可 以 在 路 由 器 或 交换 机 上 配置 Telnet 服务 ,设置 好 用 户 名 和 口令 ,然后 
使 用 计算 机 Telnet 远程 连接 到 路 由 兹 或 交换 机 的 管理 IP 地 址 上 ,输入 用 户 名 和 口令 就 可 
以 登录 到 路 由 带 或 交换 机 上 , 即 可 在 计算 机 上 配置 远 端 的 网 络 设 备 。 


1.3.7 TFTP 


TFTP( Trivial File Transfer Protocol, , 傈 单 文 件 传输 协议 ) 是 TCP/IP 协议 族 中 的 一 个 
用 来 在 客户 机 与 服务 希 之 间 进 行 简单 文件 传输 的 协议 ,提供 不 复杂 .开销 不 大 的 小 文件 传输 
服务 。 

TFTP 是 一 种 传输 小 文件 的 简单 协议 , 它 基 于 UDP 协议 实现 ,端口 号 为 69, 但 是 有 些 
TFTP 协议 也 可 以 基于 其 他 传输 协议 完成 。 该 协议 设计 的 时 候 是 进行 小 文件 传输 的 ,因此 


第 1 章 ” 计 算 机 网 络 基 础 


它 不 具备 正常 FTP 服务 的 许多 复杂 功能 , 它 只 能 从 文件 服务 器 上 读 取 和 写 和 人 文件 ,不 能 列 
出 目录 ,不 进行 认证 , 且 仅 能 传输 8 位 数据 。 

在 本 书 实验 中 , 当 路 由 器 或 交换 机 的 IOS 系统 由 于 某 些 文件 不 小 心 被 删除 导致 不 能 正 
常 工作 时 ,可 以 在 本 地 计算 机 上 安装 TFTP 服务 器 程序 ,通过 TETP 程序 和 路 由 器 或 交换 
机 进行 连接 ,将 完整 的 TOS 文件 导入 路 由 器 或 交换 机 中 。 


4.4 IP 地 址 与 子 网 划分 


1.4.1 1IP 地址 


IP(Internet Protocol) 即 互联 网 协议 、 网 际 协 议 ,是 网 络 之 间 互 连 的 协议 。IP 是 全 球 开 
放 的 协议 ,不 同 厂 商 生 产 的 设备 均 需 遵循 IP, 才 能 与 因特网 互 连 互通 。IP 地 址 (Internet 
Protocol Address) 是 指 互联 网 协议 地 址 ,也 称 为 网 际 协议 地 址 。 了 PP 地 址 是 IP 提供 的 一 种 
统一 主机 编 址 方式 的 地 址 格式 , 它 为 互联 网 上 的 每 一 个 网 络 和 每 一 台 主 机 分 配 一 个 逻辑 
地 址 ,以 此 来 屏蔽 物理 地 址 的 差异 。 为 了 能 正常 通信 ,任何 联网 设备 都 具有 IP 地 址 。 目 
前 广泛 使 用 的 IP 地 址 (IPv4) 是 32 位 地 址 ,IPv4 地 址 总 容量 近 43 亿 个 。 随 着 网 络 的 爆发 
式 增长 ,IPv4 地 址 资源 日 渐 村 竭 ,严重 制约 了 互联 网 的 应 用 和 发 展 。 为 了 解决 这 一 问 
题 , 互 联网 工程 任务 组 (Internet Engineering Task Force,IETF) 设 计 了 用 于 替代 现行 版 
本 IP 协议 (IPv4) 的 下 一 代 IP. HJ IPv6。IPv6 采用 128 位 标识 ,总 量 高 达 2 。 完 全 过 
渡 到 IPv6 还 需要 一 段 时 间 ,读者 仍 需 掌握 IPv4 相关 技术 ,本 书 的 IP 地 址 一 般 指 IPv4 
地 址 。 

1. 点 分 十 进 制 

IPv4 地 址 是 一 个 32 位 的 二 进 制 数 ,为 了 方便 人 们 读 取 ,通常 把 IPv4 地 址 按照 每 8 位 
(bitb) 一 份 等 分 为 4 个 部 分 ,用 十 进 制 表示 ,并 在 中 间 加 点 , 称 为 "点 分 十 进 制 ”(dotrdecimal 
notation) 。 例 如 ,有 IP 地址 01111111000000000000000000000001 ,如 图 1-2 所 示 , 按 每 8 位 
等 分 ,四 部 分 为 01111111 .00000000 .00000000 .00000001 ,用 十 进 制 表示 为 127,0,0,1 共 14 
个 数 , 因 此 这 个 IP 地址 的 点 分 十 进 制 写法 为 127. 0. 0. 1 ,该 地 址 通常 表示 本 机 回环 地 址 , 主 
要 用 于 网 络 软件 测试 以 及 本 地 机 进程 间 通 信 。 

rr 32168 4 2 1 


图 1-2 点 分 十 进 制 示例 


2. IP 地 址 分 类 


IPv4 地 址 编 址 方案 将 IP 地 址 划分 为 ABC、D、E 五 类 ,其 中 ABC 为 基本 类 ,D、E 
类 作为 组 播 ( 多 播 ) 和 保留 使 用 。A 、B、C C 三 类 地 址 的 详情 如 表 1-1 和 图 1-3 所 示 。 
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表 1-1 基本 类 地 址 的 数量 和 范围 
网 络 号 ”剩余 部 分 


类 别 网 络 数量 每 个 网 络 主 机 数 起 始 地 址 结束 地 址 
长 度 长 度 
A 8 24 128(2") 16777216(2**) 0.0.0.0 127. 255. 255. 255 
B 16 16 16384(2!*) 65536(2!5) 128. 0. 0.0 191. 255. 255. 255 
C 24 8 2097152(2?! ) 25625) 192. 0. 0.0 223. 255. 255. 255 


31 30 29 24 l6 


8 0 
asp mmus | OO 
[p — emus | — ms — 
es [e| —— — mem | | 


图 1-3 A、B.C 类 网 络 示 意图 


(1) A 类 地 址 。A 类 地 址 的 网 络 地 址 的 最 高 位 是 0, 子 网 掩 码 为 255. 0. 0. 0。 其 中 
127. 0. 0. 0/8 这 部 分 为 保留 地 址 ,用 于 环 回 测试 ,如 本 机 第 用 地 址 127. 0. 0.1。 

(2) B 类 地 址 。 了 类 地 址 的 网 络 地 址 的 最 高 位 是 10, 子 网 掩 码 为 255. 255.0.0。 其 中 
169. 254. 0. 0/16 这 部 分 为 保留 地 址 , 硅 设 置 为 目 动 获取 IP, 但 网 络 中 不 存在 DHCP( 动 态 主 
机 配置 协议 ) 服务 天 时 ,设备 将 会 从 这 部 分 保留 地 址 中 获取 一 个 临时 的 卫 地 址 ， 
如 169. 254. 0. 1. 

(3) C 类 地 址 。C 类 地 址 的 网 络 地 址 的 最 高 位 是 110, 子 网 掩 码 为 255. 255. 255. 0。 

(4) DD 类 地 址 。D 类 地 址 不 分 网 络 地 址 和 主机 地 址 ,最 高 位 固定 为 1110。 

(5) EE 类 地 址 。E 类 地 址 也 不 分 网 络 地 址 和 主机 地 址 ,最 高 位 固定 为 11110。 

A B,C 这 三 类 地 址 中 还 有 一 部 分 作为 互联 网 号 码 分 配 局 (Internet Assigned Numbers 
Authority. IANA) fE f RAA H hk. 

A 2$. 10.0.0. 0/8, ER EG B iE y F8] 2J : 10.0.0. 0— 10. 255. 255.255; 

BÆ: 172.16. 0. 0/12, P E BL HIE Y H8] 2g : 172. 16.0. 0 一 172. 31. 255. 255; 

C 3€, 192.168.0.0/16 ,保留 地 址 范围 为 : 192. 168.0. 0— 192. 168. 255. 255, 

这 些 私 有 地 址 主要 用 于 局 域 网 内 部 子 网 分 配 和 主机 分 配 , 如 校园 网 内 部 使 用 的 地 址 都 
属于 私有 地 址 ,这些 地 址 不 是 公共 地 址 ,不 能 在 互联 网 上 被 识别 和 路 由 。 因 此 ,不 同 的 局 域 
网 均 可 使 用 这 些 私有 地 址 ,相互 不 影响 。 


3. 在 PC 上 配置 IP 地 址 


一 人 台 联 网 计算 机 要 想 访问 网 络 , 必 须要 配置 一 个 IP 地址。 获取 IP 地 址 的 方法 有 多 种 ， 
例如 ,可 以 在 交换 机 或 服务 器 上 配置 DHCP( 动 态 主机 配置 协议 ) 服 务 ,让 本 地 计算 机 上 自动 
获取 并 设置 IP 地 址 等 信息 ; 还 有 一 种 是 手工 设置 静态 IP 地址 ,在 Windows 系统 下 给 计算 
机 网 卡 配 置 静态 IP 地 址 ,其 方法 如 下 : 

(1) 在 计算 机 困 面 右 下 角 找 到 “网 络 连接 ”图 标 ,并 右 击 选择 “打开 网 络 连 接 ”, 如 图 1-4 所 示 。 

(2) 找到 “本 地 连接 ”图 标 ( 该 图 标 有 时 候 也 标记 为 “以 太 网 ”), 布 击 选 择 “ 属 性 ”, 如 
图 1-5 所 示 。 
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LAN $m Internet 


TEN Windows BB:kigne B C) 
打开 网 络 连 接 (0) 


图 1-4 “打开 网 络 连接 ?设置 图 1-5 网 络 属性 


(3) 选择 “Internet 协议 (TCP/IP)”, 有 的 版 本 叫 *Internet 协议 版 本 4(TCP/IPv4)”, H 
接 双 击 它 ,或 者 选中 它 然后 单 击 属性 ,如 图 1-6 所 示 。 

(4) 在 对 话 框 里 填写 IP 地 址 、 子 网 掩 码 、 默 认 网 关 和 DNS 服务 硕 等 信息 ,然后 单 击 “ 确 
定 ” 按 钮 即 可 ,如 图 1-7 所 示 。 最 后 关闭 这 些 窗 口 ,就 可 以 使 用 了 。 


Internet HX (TCP/IPF) 尾 性 


常规 | 


如 果 网 络 支持 此 功能 ， 则 可 以 获 职 自动 指派 的 IP r RE. 否则 ， 
密 需 要 从 网 络 系统 管理 员 处 获得 适当 的 IP 设置 


HE Marvell Tukon SSEGU5T FCI-E Gi 配置 (D... 


C 自动 获得 IP 地 址 (0) 
(v 使 用 下 面 的 IP Hah): 
IP Hb: 182 .188 . 1 . 24 


口 辕 网 络 负 载 平 稀 


z Ert FERRETTI FEB Qn: | 255 .255 .255 . 0 
nternet [m EALA PSE D): | 192 .168 . 1 .254 


安装 D... TRE QU) | 属性 (EO 


说 明 
TCH EAR APR. Cires ERP A 
T a 


[ 连接 后 在 通知 区 域 显示 图 标 地) 
[v 此 连接 被 限制 或 无 连接 时 通知 我 加 ) 


C BEBE DHS 服务 器 地 扯 E) 
(v 使 用 下 面 的 pxs 服务 器 地 址 CO: 


首选 DHS 服务 二 E): 


图 1-6 选择 Internet 协议 图 1-7 设置 Internet BM Jg TE [5 B 


1.4.2 子 网 划分 


传统 的 IP 地址 是 一 个 二 级 地 址 , 即 {< 网 络 号 >,< 主 机 号 >} 结 构 , 网 络 号 和 主机 号 也 表 
示 了 特定 网 络 上 的 主机 ,只 有 在 同一 个 网 络 号 下 的 计算 机 之 间 才 能 “直接 ”相互 通信 ,不 同 网 
络 号 的 计算 机 属于 不 同 的 子 网 ,要 通过 网 关 (Gateway) 和 路 由 设备 才能 互通 。 

然而 ,这 样 的 划分 不 够 合理 ,会 出 现 以 下 问题 : DIP 地 址 空间 的 利用 率 有 时 很 低 ; 四 给 
每 一 个 物理 网 络 分 配 一 个 网 络 号 会 使 路 由 表 变 得 太 大 因而 降低 整个 网 络 性 能 ; OR IP 
地 址 不 够 灵活 。 为 此 ,需要 增加 一 个 新 字段 “ 子 网 号 ?来 将 二 级 地 址 变 成 三 级 地 址 , 即 {< 网 
络 号 >< 子 网 号 >< 主 机 号 >} 结 构 , 以 允许 把 IP 网 络 划 分 成 更 小 的 网 络 ,这些 网 络 就 称 为 子 网 
(Subnet) , 而 将 两 级 地 址 变 为 三 级 地 址 的 方法 就 是 子 网 划分 。 子 网 划分 具有 以 下 优点 : 
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(1) 减少 网 络 流量 。 如 果 没 有 可 信条 的 路 由 大 ,网 络 流量 可 能 导致 整个 网 络 停顿 ,但 有 
了 路 由 需 后 ,大 部 分 流量 都 将 竺 在 本 地 网 络 内 ,只 有 前 往 其 他 网 络 的 分 组 将 穿越 路 由 需 。 路 
由 器 增加 广播 域 , 广 播 域 越 多 ,每 个 域 就 越 小 ,而 每 个 网 段 的 流量 也 就 越 少 。 

(2) 优化 整体 网 络 性 能 。 这 是 减少 网 络 流量 的 结果 。 

(3) 简化 网 络 管理 。 与 庞大 的 网 络 相 比 , 在 一 系列 相连 的 子 网 中 找 出 并 隅 离 网 络 问题 
更 容易 。 

(4) 有 助 于 覆盖 大 型 地 理 区 域 。WAN 链 路 比 LAN 链 路 的 速度 慢 很 多 , 且 更 昂 贯 , 单 
个 大 路 度 的 大 型 网 络 在 上 述 各 个 方面 都 可 能 出 现 问 题 , 而 将 多 个 小 网 络 连 接 起 来 可 提高 系 


1. 创建 子 网 


要 创建 一 个 子 网 ,可 采取 如 下 步骤 : 
1) 确定 需要 的 子 网 网 络 ID 数 

COD 每 个 LAN 子 网 一 个 网 络 ID; 
(2) 每 个 广域网 连接 一 个 网 络 ID. 
2) 确定 每 个 子 网 所 需 的 主机 ID 数 
(D 每 个 TCP/IP 主机 一 个 主机 ID; 
(2) 每 个 路 由 带 接 口 一 个 主机 ID. 
3) 根据 上 述 需求 ,确定 如 下 内 容 
(1) 一 个 用 于 整个 网 络 的 子 网 掩 码 ; 
(2) 每 个 物理 网 段 的 唯一 子 网 ID; 
(3) 每 个 子 网 的 主机 ID 范围 。 


2. THRE 


要 让 子 网 划分 真正 起 作用 ,网 络 中 的 每 台 主 机 都 必须 知道 主机 IP 地 址 的 哪 部 分 为 网 络 
地 址 . 哪 部 分 为 子 网 地 址 、 哪 部 分 为 主机 地 址 ,这 是 通过 给 每 台 主 机 分 配子 网 掩 码 实现 的 。 
子 网 掩 人 码 是 一 个 和 IP 地 址 等 长 的 32 位 的 值 ,能 够 唯一 确定 主机 IP 地 址 的 子 网 大 小 ,能 够 
将 IP 地 址 的 网 络 ID . 子 网 ID 和 主机 ID 进行 区 分 。 

32 位 的 子 网 掩 码 同样 也 是 由 1 和 0 组 成 ,其 中 的 1 表示 IP 地 址 的 相应 部 分 为 网 络 地 址 
或 子 网 地 址 。 

并 非 所 有 网 络 都 需要 子 网 ,这 意味 着 网 络 可 使 用 默认 子 网 掩 码 , 即 网 络 掩 码 。A 类 、B 
类 和 C 类 了 网络 的 默认 子 网 掩 码 如 表 1-2 Bron ,同样 也 是 主 类 网 络 掩 码 。 

XA 1-2 主 类 网 络 掩 码 


网 络 默认 子 网 掩 码 
A 类 255.0.0.0 
B 类 255. 255. 0. 0 


C 类 255. 255. 255. 0 


第 1 章 ” 计 算 机 网 络 基 础 


对 于 A 类 网 络 , 子 网 掩 码 必须 以 255 打头 ,但 不 能 将 子 网 掩 码 设置 为 255. 255. 255. 255 , 因 
为 它 全 1 ,是 一 个 广播 地 址 。 同 样 ,B 类 网 络 的 子 网 拖 码 必须 以 255. 255 打头 ,而 C 类 网 络 子 网 
掩 码 必 须 以 255. 255. 255 打头 。 


3. 无 类 域 间 路 由 选择 CCIDR) 


CIDR 是 ISP( 因 特 网 服务 提供 商 ) 用 来 将 大 量 地 址 分 配给 客户 的 一 种 有 效 方法 。ISP 以 特 
定 大 小 的 IP 地 址 块 提供 给 客户 ,客户 从 ISP 那里 获得 的 IP 地 址 块 类 似 于 192. 168. 1. 32/28。 
这 个 IP 地 址 块 的 斜 杠 (/) 表 示 方 法 指明 了 子 网 掩 码 的 大 小 ,上 述 地 址 块 “/28” 表 示 子 网 掩 码 
中 从 高 位 往 低 位 ( 即 从 左 到 右 ) 数 有 28 位 为 1。 显然 ,最 大 位 为 /32, 因 为 一 个 字 节 为 8 位 ， 
而 IP 地 址 长 4B(4X8=32)。 注 意 ,最 大 的 子 网 拖 码 为 730( 不 管 是 哪 类 地 址 ) ,因为 至 少 需 
要 将 2 位 用 作 主 机 位 。 

A 类 网 络 的 默认 子 网 掩 码 (网络 掩 码 ) 是 255. 0. 0. 0 ,第 一 个 字 节 全 为 1, 即 11111111， 
使 用 斜 杠 表示 法 时 ,需要 计算 有 多 少 位 为 1。255.0. 0.0 的 斜 杠 表示 是 /8, 因 为 从 高 位 到 低 
位 有 8 个 取 值 为 1 的 位 。 

B 类 网 络 的 默认 子 网 掩 码 是 255. 255. 0. 0 , 斜 杠 表示 是 /16, 因 为 有 16 个 取 值 为 1 的 位 : 

11111111. 11111111. 00000000. 00000000 

C 类 网 络 的 默认 子 网 掩 码 是 255. 255. 255. 0, 斜 枉 表示 是 /24, 因 为 有 24 个 取 值 为 1 
的 位 : 

11111111. 11111111. 11111111. 00000000 

K 1-3 列 出 了 所 有 可 能 的 子 网 掩 码 及 其 斜 杜 表 示 。 


表 1-3 子 网 撞 码 及 科 杠 表示 


子 网 掉 码 FHIR 
255.0.0.0 /8CA 3S W $8 BA T Id d ) 
255.128.0.0 /9 
255.192.0.0 /10 
255. 224.0.0 /11 
255. 240. 0. 0 r12 
255. 248.0. 0 /13 
255.252.0.0 /14 
255.254.0.0 /15 
255. 255. 0.0 /16CB 类 网 络 默 认 子 网 掩 码 ) 

55. 255. 128. 0 /17 
255.255. 192.0 /18 
255. 255. 224.0 /19 
255. 255. 240.0 /20 
255.255. 248.0 Hu 
255. 255.252.0 /22 
255. 255. 254. 0 Fa 


255.255. 255.0 /24CC 3S Rik BRA T Ped dá f) 
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MV 


续 表 
F pol $i 89 SEL A ZR 
255. 255. 255. 128 /25 
255. 255. 255. 192 /26 
255. 255. 255. 224 /21 
255. 255. 255. 240 /28 
255. 255. 255. 248 /29 
255. 255. 255. 252 /30 


上 述 表 格 中 ,/8 一 /15 只 能 用 于 A 类 网 络 ,/16 一 /23 可 用 于 A 类 和 也 类 网 络 , 而 /24 一 
/30 可 用 于 A,B,C 三 类 网 络 。 


4. 子 网 划分 方法 


为 了 克服 IP 地 址 有 限 的 问题 ,所 有 类 别 网 络 可 以 被 划分 为 更 小 的 子 网 ,这 个 划分 过 程 
称 为 子 网 划分 。 子 网 划分 的 方法 有 多 种 ,本 市 介 绍 一 种 简单 .常用 的 方法 ,主要 有 5 个 步骤 。 
下 面 先 以 C 类 网 络 的 子 网 划分 为 例 来 介绍 这 种 方法 。 

1) C 类 网 络 的 子 网 划分 

(D C 类 网 络 的 快速 子 网 划分 方法 。 

给 网 络 选 择 子 网 掩 码 后 ,需要 计算 该 子 网 掩 码 提供 的 子 网 数 以 及 每 个 子 网 的 合法 主机 
地 址 和 广播 地 址 。 为 此 ,只 需 回答 下 面 5 个 问题 。 

D 选 定 的 子 网 掩 码 将 创建 多 少 个 子 网 ? 

2* 个 ,其 中 x 表示 从 主机 位 借用 的 子 网 掩 码 ( 取 值 为 1) 的 位 数 。 例 如 ,在 11000000 中 ， 
取 值 为 1 的 位 数 为 2, 因 此 子 网 数 为 22 二 4 个 。 

每 个 子 网 可 包含 多 少 台 合法 主机 地 址 ? 

2” 一 2 个 ,其 中 yy 为 原 主 机 位 减 去 借用 的 子 网 掩 码 位 剩 下 的 主机 位 ( 取 值 为 0) 的 位 数 。 
例如 ,在 11000000 中 , 取 值 为 0 的 位 数 为 6(8 一 2), 因 此 ,每 个 子 网 可 包含 的 主机 数 为 2 一 
2—62 个 。 减 去 的 两 个 为 子 网 地 址 和 广播 地 址 ,它们 不 是 合法 的 主机 地 址 。 

有 哪些 合法 的 子 网 ? 

这 里 主要 是 指 子 网 块 有 多 大 。 块 大 小 ( 增 量 ) 为 256 一 子 网 掩 码 。 一 个 例子 就 是 256 一 
192— 64, Bl 25 F AHE 7 192 时 , 块 大 小 为 64, 从 0 开始 不 断 增加 64, 直 到 到 达 子 网 掩 人 码 
值 ,中 间 的 结果 就 是 合法 的 子 网 , 即 0.64、128 和 192 共 四 个 块 ,每 个 块 大 小 为 64 个 子 网 。 
这 四 个 块 分 别 为 0—63.,64-—127.128—191,192— 255, 

每 个 子 网 的 广播 地 址 是 什么 ? 

前 面 确 定 了 子 网 为 0.64、128 和 192, 而 广播 地 址 总 是 下 一 个 子 网 的 前 面 那个 数 。 例 
如 , 子 网 0 的 广播 地 址 为 63, 因 为 下 一 个 子 网 是 64; 子 网 64 的 广播 地 址 为 127, 因 为 下 一 个 
于 网 是 128, 以 此 类 推 ,最 后 一 个 子 网 的 广播 地 址 总 是 255。 

每 个 子 网 可 包含 哪些 主机 地 址 ? 

合法 的 主机 地 址 位 于 两 个 子 网 之 间 ,但 全 0( 子 网 网 络 地 址 ) 和 全 1( 子 网 广播 地 址 ) 的 地 
址 际 外 。 例 如 ,如 果子 网 号 为 64, 而 广播 地 址 是 127, 则 合法 的 主机 地 址 犯 围 为 65 一 126 , 即 
子 网 地 址 和 广播 地 址 之 间 的 数 。 


第 1 草 ”计算 机 网 络 基础 


(2) C 类 网 络 子 网 划分 示例 。 

示例 一 : 给 C 类 网 络 192. 168. 10. 0 选择 的 子 网 掩 码 为 255. 255. 255. 128(/25), 对 其 
进行 子 网 划分 。 

首先 ,将 最 后 一 个 字 节 的 128 展开 二 进 制 表示 为 10000000, 从 8 位 原 主 机 位 中 借用 1 
位 用 于 划分 子 网 ,余下 7 位 定义 主机 。 

Wd 2& b hi — 192. 168. 10. 0. FRIHET — 255. 255. 255. 128。 

下 面 来 回答 前 面 的 5 大 问题 。 

COD 包含 多 少 个 子 网 ? 

在 128(10000000) F , 取 值 为 1 的 位 数 是 1, 因此 答案 为 2 一 2 个 。 

D 每 个 子 网 多 少 台 主机 ? 

取 值 为 0 的 位 数 是 7, 因 此 答案 为 2 2-126 台 。 

O 有 哪些 合法 的 子 网 ? 

HK: 256 一 128 王 128 ,因此 子 网 为 0 和 128。 

O 每 个 子 网 的 广播 地 址 是 什么 ? 

因为 总 共有 2 个 子 网 ,0 和 128。 当 前 子 网 的 广播 地 址 是 下 一 个 子 网 之 前 的 、 所 有 主机 
位 取 值 都 是 1 的 地 址 。 对 于 第 一 个 子 网 0, 下 一 个 子 网 是 128, 因 此 其 广播 地 址 为 127; 而 第 
二 个 子 网 是 128, 故 广播 地 址 为 255. 

每 个 子 网 可 包含 哪些 主机 地 址 ? 

合法 的 主机 地 址 为 子 网 地 址 和 广播 地 址 之 间 的 数字 。 要 确定 主机 地 址 ,最 简单 的 方法 
就 是 写 出 子 网 地 址 和 广播 地 址 ,这 样 主 机 地 址 就 显而易见 了 。 表 1-4 列 出 了 子 网 0 和子 网 
128 以 及 它们 的 合法 主机 地 址 范围 和 广播 地 址 。 


表 1-4 C 类 网 络 1 位 子 网 化 后 的 地 址 范围 


C 类 网 络 IP 地 址 范围 
THS Us 
最 后 一 个 主机 地 直 25 
广播 地 址 127 255 


[:] 388 , 子 网 掩 码 为 255. 255. 255. 192(/26)、255. 255. 255. 224 (/27) ,255. 255. 255. 240 
(/28) ,255. 255. 255. 248 (/29) , 255. 255. 255. 252 (/30) 的 子 网 划分 方法 同 255. 255. 255. 128 
(/250 3€ — FER 

2) B 类 网 络 的 子 网 划分 

(D B 类 网 络 的 快速 子 网 划分 方法 

B 类 网 络 的 子 网 划分 方法 与 C 类 网 络 的 子 网 划分 方法 相同 ,只 是 从 第 三 个 字 节 开始 , 划 
分 的 5 个 步骤 是 完全 相同 的 。 

(2) B 类 网 络 的 子 网 划分 示例 

示例 二 : 给 B 类 网 络 172. 16. 0. 0 选择 的 子 网 掩 码 为 : 255. 255. 128. 0(/17) ,对 其 进行 
子 网 划分 。 

首先 将 128.0 展开 成 二 进 制 表示 为 10000000. 00000000, 从 16 位 原 主机 位 中 借用 1 位 
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用 于 定义 子 网 ,余下 15 位 定义 主机 。 
网 络 地 址 二 172. 16.0. 0. I] fi fj — 255. 255. 128. 0, 
下 面 来 回答 前 面 的 5 大 问题 。 
有 多 少 个 子 网 ? 
在 128. 0(10000000. 00000000) 中 , 取 值 为 1 的 位 数 是 1, 因此 子 网 个 数 为 2 —2 个 。 
每 个 子 网 包含 多 少 台 主机 ”? 
取 值 为 0 的 位 数 是 15 ,因此 每 个 子 网 包含 的 有 效 主机 数 为 2” 一 2 二 32766( 第 3 个 字 节 
7 位 ,第 4 个 字 世 8 位 )。 
有 哪些 合法 的 子 网 ? 
块 大 小 : 256 一 128 王 128 ,因此 子 网 为 0 和 128。 鉴 于 子 网 划分 是 在 第 三 个 字 节 中 进行 
的 ,因此 子 网 号 实际 上 为 0.0 和 128.0。 这 些 数字 与 C 类 网 络 相 同 ,将 其 用 于 第 三 个 字 方 ， 
并 将 第 四 个 字 市 设置 为 0。 
每 个 子 网 的 广播 地 址 是 什么 ? 
因为 总 共有 2 个 子 网 ,0.0 和 128.0。 第 一 个 于 网 的 广播 地 址 是 第 二 个 子 网 地 址 的 前 一 
个 地 址 , 即 为 127. 255 ,第 二 个 子 网 的 广播 地 址 是 255. 255. 
每 个 子 网 可 包含 哪些 主机 地 址 ? 
表 1-5 列 出 了 这 两 个 子 网 及 其 合法 主机 地 址 范围 和 广播 地 址 。 
X 1-5 B 类 网 络 1 位 子 网 化 后 的 地 址 范围 
B 类 网 络 IP 地 址 范围 
LE Dx 
第 一 个 主机 地 址 128.0 
最 后 一 个 主机 地 址 255. 254 
MATS Z9. £00 


广播 地 址 127. 25 


同 理 , 子 网 掩 码 为 255. 255. 192. 0(/18)、255. 255. 224. 0(/19)、255. 255. 240. 0(/20)、 
255. 255. 248. 0 (/21). 255. 255. 252. 0(/22), 255. 255. 254. 0 (/23) 的 了 于 网 划分 方法 同 
255. 255.128. 0(/17) 是 一 样 的 。 

示例 三 : 给 B 类 网 络 172. 16. 0. 0 选择 的 子 网 掩 码 为 255. 255. 255. 0(/24), 对 其 进行 
子 网 划分 。 

注意 : 将 子 网 掩 码 255. 255. 255.0 用 于 B 类 网 络 时 ,我 们 并 不 将 其 称 为 C 类 网 络 的 默 
认 子 网 掩 码 。 这 是 一 个 将 8 位 (第 三 个 字 厄 ) 用 于 子 网 划分 的 B 类 子 网 掩 码 ,从 逻辑 上 说 ， 
它 不 同 于 CTA. 

首先 将 255. 0 展开 成 二 进 制 表示 为 : 11111111. 00000000, 从 16 位 原 主机 位 中 借用 8 
位 用 于 定义 子 网 ,余下 8 位 定义 主机 。 

网 络 地 址 二 172. 16. 0. 0. T II f = 255. 255. 255. 0。 

下 面 来 回答 前 面 的 5 大 问题 。 

有 多 少 个 子 网 ? 

在 255.0(11111111. 00000000) 中 , 取 值 为 1 的 位 数 是 8, 因 此 划分 的 子 网 个 数 为 2 = 
256 个 。 
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Q 每 个 子 网 多 少 全 主机? 

取 值 为 0 的 位 数 是 8, 因 此 答案 为 2 一 2 一 254( 第 四 个 字 节 8 位 )。 

O 有 哪些 合法 的 子 网 ? 

块 大 小 ; 256 一 255 一 1, 因 此 子 网 为 0,1,2,3,…，,255。 鉴 于 子 网 划分 是 在 第 三 个 字 市 中 
进行 的 ,因此 子 网 号 实际 上 为 0.0,1.0,2.0,3.0,…,255.0。 这 些 数 字 与 C 类 网 络 相 同 ,我 
们 将 其 用 于 第 三 个 字 市 ,并 将 第 四 个 字 节 设置 为 0。 

每 个 子 网 的 广播 地 址 是 什么 ? 

O 每 个 子 网 可 包含 哪些 主机 地 址 是 什么 ? 

K 1-6 列 出 了 前 四 个 和 后 两 个 子 网 及 其 合法 主机 地 址 范围 和 广播 地 址 。 

表 1-6 B 类 网 络 8 位子 网 化 后 的 地 址 范围 
B 类 网 络 IP 地 址 范围 


aram | oa | a | xi [o | - ee [593 
RE -EPRAGE | os| ier aai sme co meni uec 


示例 四 : 给 B 类 网 络 172. 16.0. 0 Xe f& m T- Id 4 fid 7g: 255. 255. 255. 128C/25) ,对 其 进 
行 子 网 划分 。 

这 是 最 难处 理 的 子 网 掩 码 之 一 ,更 粳 糙 的 是 , 它 是 一 个 非 稼 适合 生产 环境 的 子 网 掩 码 ， 
因为 它 可 创建 500 多 个 子 网 ,而 每 个 子 网 可 包含 126 台 主 机 ,应 用 很 广泛 。 

首先 将 255. 128 展开 成 二 进 制 ,表示 为 : 11111111. 10000000, 从 16 位 原 主机 位 中 借用 
9 位 用 于 年 义 子 网 ,余下 7 位 定义 主机 。 

网 络 地 址 二 172. 16. 0. 0, T Id fi fi — 255. 255. 255. 128, 

下 面 来 回答 前 面 的 5 大 问题 。 

O 有 和 多少 个 子 网 ? 

在 255.128(11111111. 10000000) 中 , 取 值 为 1 的 位 数 是 9, 因 此 答案 为 2 —512, 

每 个 子 网 多 少 台 主机 ? 

取 值 为 0 的 位 数 是 7, 因 此 答案 为 2 一 2 王 126( 第 四 个 字 节 8 M). 

(3 有 哪些 合法 的 子 网 ? 

这 是 比较 丈 手 的 部 分 。 第 三 个 字 节 的 块 大 小 ; 256 一 255 王 1, 因 此 第 三 个 字 节 的 可 能 取 
值 为 0,1,2,…,255; 但 是 ,请 注意 ,第 四 个 字 节 也 有 1 位 用 于 划分 子 网 ,所 以 第 四 个 字 节 的 
块 大 小 : 256 一 128 王 128 ,其 可 能 的 取 值 为 0 和 128。 故 第 三 个 字 节 的 每 个 可 能 取 值 对 应 于 
第 四 个 字 节 的 两 个 取 值 ,因此 总 共有 512 个 子 网 。 例 如 ,第 三 个 字 节 取 值 为 3 时 , 则 对 应 的 
两 个 子 网 为 3.0 813.128, 

每 个 子 网 的 广播 地 址 是 什么 ? 

O 每 个 子 网 可 包含 哪些 主机 地 址 ? 

表 1-7 列 出 了 前 四 个 和 后 两 个 子 网 及 其 合法 主机 地 址 范围 和 广播 地 址 。 
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表 1-7 B 类 网 络 9 位子 网 化 后 的 地 址 范围 
B 类 网 络 IP 地 址 范围 
J L128 | | 255.0 | 255.128 


[n] 8 , 子 网 掩 码 为 255. 255. 255. 192(/262,255. 255. 255. 224(/27) .255. 255. 255. 240 
(/28).255. 255. 255. 248(/292,255. 255. 255. 252(/30) 用 于 B 类 网 络 时 ,其 子 网 划分 方法 
同 255. 255. 255. 128(/25) 是 一 样 的 。 


5. A 类 网 络 的 子 网 划分 


D A 类 网 络 的 快速 子 网 划分 方法 

A 类 网 络 的 子 网 划分 方法 与 B 类 网 络 和 CC 类 网 络 的 子 网 划分 方法 类 似 , 但 需要 处 理 的 
是 24 位 ,而 B 类 网 络 和 C 类 网 络 需 要 人 处 理 的 分 别 是 16 位 和 8 fu. 

A 类 网 络 的 子 网 掩 码 范围 (/8) 一 (/30) 。 

2) A 类 网 络 子 网 划分 示例 

示例 五 : 给 A 类 网 络 10.0.0. 0 选择 的 子 网 掩 码 为 : 255. 255. 0.0(/16), 对 其 进行 子 网 
划分 。 

A 类 网 络 的 默认 子 网 掩 码 255. 0. 0.0, 这 使 得 有 22 位 可 用 于 子 网 划分 ,因为 至 少 需 于 
留 下 2 位 用 于 主机 编 址 。 

首先 将 255. 0. 0 展开 二 进 制 表示 为 : 11111111. 00000000. 00000000, 从 24 位 原 主 机 位 
中 借用 8 位 用 于 定义 子 网 ,余下 16 位 定义 主机 。 

je] 28 Rt di — 10. 0. 0. 0. T Ij f = 255. 255. 0. 0。 

下 面 来 回答 前 面 的 5 大 问题 。 

OD 有 多 少 个 子 网 ? 

在 255.0.0(11111111. 00000000. 00000000) 中 , 取 值 为 1 的 位 数 是 8, 因此 包含 的 子 网 
个 数 为 2 —256 个 。 

(2) 每 个 子 网 多 少 台 主机 ? 

取 值 为 o 的 位 数 是 16 ,因此 答案 为 275 —2—65534 G8 — "5E 8 位 ,第 四 个 字 节 8 位 )。 

(3) 有 哪些 合法 的 子 网 ? 

这 里 只 需要 考虑 第 二 个 字 节 ,其 块 大 小 : 256 一 255 王 1, 因 此 子 网 为 0,1,2,…,255。 鉴 
于 子 网 划分 是 在 第 二 个 字 节 中 进行 的 ,因此 子 网 号 实际 上 为 0.0.0,1.0.0,*…,255.0.0。 

(4) 每 个 子 网 的 广播 地 址 是 什么 ? 

(5) 每 个 子 网 可 包含 哪些 主机 地 址 ? 

K 1-8 列 出 了 前 两 个 和 后 两 个 子 网 及 其 合法 主机 地 址 范围 和 广播 地 址 。 
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表 1-8 A 类 网 络 8 位子 网 化 后 的 地 址 范围 
A 类 网 络 IP 地 址 范围 


子 网 号 10. 0.0.0 10.1.0.0 oom 10. 254.0.0 10. 255.0.0 


最 后 一 个 主机 地 址 | 10.0.255.254 | 10. 1. 255. 254 10. 254. 255. 254 | 10. 255. 255. 254 
广播 地 址 10. 0. 255. 255 | 10. 1. 255. 255 10. 254. 255. 255 | 10. 255. 255. 255 


示例 六 : 给 A 类 网 络 10.0.0.0 选择 的 子 网 掩 码 为 : 255. 255. 240. 00/20) ,对 其 进行 子 
网 划分 。 

首先 将 255. 240. 0 展开 二 进 制 表示 为 : 11111111. 11110000, 00000000, 从 24 位 原 主机 
位 中 借用 12 位 用 于 定义 子 网 ,余下 12 位 定义 主机 。 

网 络 地 址 二 10. 0. 0. 0. P Io fi fi — 255. 255. 240. 0. 

下 面 来 回答 前 面 的 5 大 问题 。 

(OD 有 多 少 个 子 网 ? 

在 255. 240. 0(11111111. 11110000. 00000000) 中 , 取 值 为 1 的 位 数 是 12, 因 此 答案 为 
2! —4096 ^, 

(2) 每 个 子 网 多 少 人 台 主 机 ? 

取 值 为 0 的 位 数 是 12 ,因此 答案 为 2 “一 2 一 4094( 第 三 个 字 节 4 位 ,第 四 个 字 节 8 位 )。 

(3) 有 哪些 合法 的 子 网 ? 

注意 ,这 里 需要 考虑 的 是 第 二 个 和 第 三 个 字 节 。 在 第 二 个 字 节 中 ,了 网 号 间 隅 ( 抉 大 小 ) 
为 1, 子 网 取 值 为 1 一 255。 第 三 个 字 节 中 子 网 号 间隔 ( 块 大 小 ) 为 16, 所 以 子 网 号 为 0,16， 
32 ,***,240, 

(4) 每 个 子 网 的 广播 地 址 是 什么 ? 

CO 每 个 子 网 可 包含 哪些 主机 地 址 ? 

K 1-9 列 出 了 前 三 个 和 最 后 一 个 子 网 及 其 合法 主机 地 址 范围 和 广播 地 址 。 

表 1-9 A 类 网 络 12 位 子 网 化 后 的 地 址 范围 
A 类 网 络 IP 地 址 范围 


最 后 一 个 主机 地 址 10. 0. 47. 254 oom 10. 255. 255. 254 
广播 地 址 10.0.31.255 | 10.0.47.255 | = | 10.255.255.255 


示例 七 : 给 A 类 网 络 10.0.0. 0 ÆT Id fifa y. 255. 255. 255. 192C/260 ,对 其 进行 
子 网 划分 。 

首先 将 255. 255. 192 展开 二 进 制 表示 为 : 11111111. 11111111. 11000000, 24 位 原 主 
机 位 中 借用 18 位 用 于 定义 子 网 ,余下 6 位 定义 主机 。 

网 络 地 址 王 10. 0. 0. 0. T Id f fi — 255. 255. 255. 192, 

下 面 来 回答 前 面 的 5 大 问题 。 
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OD 有 多 少 个 子 网 ? 

在 255. 255. 192(11111111. 11111111. 11000000) 中 , 取 值 为 1 的 位 数 是 18 ,因此 答案 为 
2” 一 262144 个 子 网 。 

(2) 每 个 子 网 多 少 台 主机 ? 

取 值 为 0 的 位 数 是 6, 因 此 答案 为 2 一 2==62 台 主 机 。 

(3) 有 哪些 合法 的 子 网 ? 

这 里 需要 考虑 第 二 个 ,第 三 个 和 第 四 个 字 节 ,第 二 个 和 第 三 个 字 节 块 大 小 ; 256 一 255 一 
1;, 因 此 第 二 个 和 第 三 个 字 节 子 网 都 为 0,1,2,…,255。 第 四 个 字 节 块 大 小 : 256—192—64, 
因此 子 网 分 别 为 0,64,128,192。 

(4) 每 个 子 网 的 广播 地 址 是 什么 ? 

(5) 每 个 子 网 可 包含 哪些 主机 地 址 ? 

表 1-10 列 出 了 前 四 个 子 网 及 其 合法 主机 地 址 范围 和 广播 地 址 。 

表 1-10 A 类 网 络 18 位 子 网 化 后 前 四 个 子 网 的 地 址 范围 


A 类 网 络 IP 地 址 范围 


表 1-11 列 出 了 最 后 四 个 子 网 及 其 合法 主机 地 址 范围 和 广播 地 址 。 
表 1-11 A 类 网 络 18 位 子 网 化 后 最 后 四 个 子 网 的 地 址 范围 


A 类 网 络 IP 地 址 范围 
于 网 号 10. 255. 255. 0 10.255.255.64 | 10.255.255.128 10. 255. 255. 192 


第 一 个 主机 地 址 10. 255. 255.1 10. 255. 255. 65 10. 255. 255. 129 10. 255. 255, 193 
最 后 一 个 主机 地 址 10. 255. 255. 62 10.255. 255.126 | 10. 255. 255. 190 10. 255. 255. 254 


广播 地 址 10. 255. 255. 63 10. 255. 255. 127 | 10. 255. 255. 191 10. 255. 255. 255 


1.5 常用 网 络 命令 与 工具 


无 论 哪 种 操作 系统 ,都 有 许多 便捷 的 网 络 命令 
和 工具 供 我 们 使 用 ,为 了 方便 课程 的 学 习 , 本 节 介 
绍 几 种 Windows 操作 系统 下 的 网 络 命令 工具 , 方 


Ld. BENE, Vence Internet 资 福 的 名 


. | 打开 O: 
便 读 者 使 用 .。 
使 用 这 些 命 令 前 ,应 先 打 开 cmd. exe 程序 ,可 取消 ”| asw.. | 


以 按 Windows 十 R 组 合 键 弹出 “运行 ”对 话 框 ,人 然后 
输入 cmd, 上 冉 按 Enter 键 或 按 “ 确 定 ” 按 钮 即 可 ,如 
图 1-8 所 示 。 


图 1-8 打开 cmd. exe 
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1.5.1 ipconfig 


ipconfig 是 Windows 操作 系统 中 一 个 第 用 的 命令 行 工 具 (Linux 下 有 同类 工具 ifconfig 
或 ip) ,其 主要 作用 是 显示 当前 网 络 连接 属性 的 设置 。 输 入 ipconfig 可 查看 当前 各 网 卡 的 配 
置信 息 。 输 入 ipconfig/? 可 查看 帮助 ,如 图 1-9 所 示 


cn C: \TIHDOTS \systemg? iced. ere 
G: S»ipconfig 


Windowse IF Configuration 


Ethernet adapter IW: 


Gonnection-specific DHS Suffix 

IP fddress. 。 。 。 。 。 = = = = = 。 > 192.168.1.1 
Subnet Mask . . . 。 。 = = = = 。 = © 255.255.255.0 
Default Gateway hb 


图 1-9 ipconfig 输出 示例 


从 ipconfig 的 输出 结果 可 以 了 解 到 IP EC fü 13. 默认 网 关 等 信息 。 如 末 想 要 更 
加 详细 的 信息 ,可 以 在 ipconfig 后 面 加 /all 参数 。 这 些 信 息 有 DNS 服务 器 地 址 ,网 卡 描述 、 
网 卡 物理 地 址 (MAC) 等 ,如 图 1-10 所 示 。 
cn" C: \TINIOTS\systenm32\end. ere 
C:*M»ipconfig sall 


Windows IFP Configuration 


Host Name . . ʻa a 2 2 - - I Cae-3ðb-24 
Primary Dns Suffix .o1 

Hode Type . . . 

IP Routing Enabled. "p 

WINS Proxy Enahledu。。。。。。 = 。 No 


Ethernet adapter 本 地 这 


Connection-specific DNS Suffix 
Description . . . . . . = = =- =- . * Marvell Yukon 88bE8H57 PCI-E Gigabit Ether 
net Controller 
: 98—FB-66-16—B3-CB 
: Ho 
=- = 192.168.1.i 


到 1-10 ipconfig 详细 输出 示例 
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1.5.2 ping 


ping 是 一 个 非常 实用 的 工具 ,安装 了 TCP/IP 协议 相关 软件 后 便 可 使 用 (一 般 
Windows 操作 系统 下 均 有 安装 )。ping 主要 通过 测试 数据 包 能 人 否 到 达 指 年 主机 来 测试 网 络 
连接 是 否 正 常 。 其 原理 通过 发 送 Internet 控制 消 朋 协议 (ICMP) 数 据 包 来 验证 与 男 一 台 主 
机 之 间 的 连接 ,发 送 请 求 后 便 等 竺 回应 ,并 按 成 功 啊 应 次 数 与 时 间 来 计算 丢 包 率 与 网 络 时 
延 。 无 论 是 在 Windows 还 是 Linux 操作 系统 下 ,ping 几乎 是 最 第 用 的 命令 行 工 具 之 一 。 在 
Windows 的 cmd 程序 中 ,输入 ping/? 可 查看 帮助 ,ping 命令 有 众多 参数 可 选 , 如 图 1-11 所 示 。 


cn C: VTINDOTS\systenm32\cnd. exe 


Microsoft Windows [KÆ 5.2.3798] 
<C》 版 株 所 有 1985-2003 Microsoft Corp. 


C:\Documents and Settings dministrator?2ping 7 


Usage: ping [一 十] [-al] [-n count] a i size] [=f] [-i TIL] [-uw UU 
[一 count] [-s count] [[-j host-listl : [-k host—list]] 
[-w timeout] [-R1 [-$ srcaddrl [-41 [-61 target name 


Ping the specified host until stopped. 
Io see statistics and continue 一 type Control-BEreak; 
Io stop 一 type Control-C. 
Resolve addresses to hostnames. 
count Humber of echo requests to send- 
l size Send buffer size. 
Set Don't Fragment flag in packet <4IPuđ-only>. 
i TTL Time To Live. 
TOS Type Of Service &IPu4d-only»?. 
P count Record route for count hops &IPu4d-onlvy». 
count Timestamp for count hops IPv4-—only». 
i host-list Loose source route along host—list <4IPFPu4-—on ly). 
k host-list Strict source route along host-list <IPuđd-only). 
4 timeout Timeout in milliseconds to wait for each reply. 
Irace round-trip path CIPu&-only»5. 


图 1-11 ping/? 详细 输出 示例 


ping 命令 的 典型 用 法 如 下 : 
(1) ping 本 机 环 回 地 址 ,测试 基本 的 TCP/IP 网 络 配置 。 


(2) ping 本 机 或 内 网 里 其 他 设备 的 IP 地 址 (假设 本 机 为 192. 168. 1. 100) ,测试 本 地 主 
机 的 TCP/IP 设置 。 


ping 192.168.1.100 // 测 试 本 机 网 卡 是 否 正常 工作 
ping 192.168.1.254 / /测试 本 机 与 本 子 网 内 另外 一 台 主 机 之 间 的 连通 性 


某 个 特定 的 网 址 ,测试 与 远 端 主机 的 连 


(3) ping xe C) Pj» Jp E BJ IP 地 址 或 
ping www. cisco. com // 测 试 本 机 与 远 端 主机 的 连通 性 


这 里 的 测试 的 是 与 CNNIC Publice DNS I 4& 38 , 5j E FL (Cisco) 官方 网 站 首页 的 连 
通 性 。 
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在 Windows 操作 系统 下 «ping 命令 默认 发 送 4 个 包 , 可 加 -t 参数 让 其 持续 发 包 , 发 包 
过 程 中 使 用 Ctrl 十 Break 组 合 键 查看 统计 结果 (但 不 会 停止 发 包 )。 若 要 停止 发 包 , 需 使 用 
Ctrl 十 C 组 合 键 。 奢 要 指定 发 包 数 量 , 可 以 -n 选项 加 上 指定 的 数量 ,如 -n 10, 发 完 指 定数 量 
的 包 后 ,会 日 动 停止 ,并 显示 统计 结果 ,如 图 1-12 所 示 。 

tC: \FINDOTS\system32\cmd. exe 


C: ping 192.168.2.1 


Finging 192.168.2.1 with 32 bytes of data: 


Reply from 192.168.2.1: hyutes=32 time=ims TTL=254 


Reply from 192.168.2.1: bytes=32 time-9ms TIL=254 
Reply from 192.168.2.1: bytes=32 time=łms TIL=254 
Reply from 192.168.2.1: þbytes=32 time=łfms TIL=254 


Ping statistics for 192.168.2.1: 

Packets: Sent = 4, Received = 4, Lost = Ø Bx: loss), 
ñpproximate round trip times in milli-seconds: 

Minimum = fms, Maximum = ilims, Average = fms 


DIN? 


图 1-12 ping 命令 示例 


ping - t www. example. com 


ping -n 10 www. example. com 


常见 的 ICMP 返回 信息 有 如 下 3 fh. 

1) destination host unreachable 

这 种 情况 表示 ”目标 主机 不 可 达 ”, 可 能 是 目标 主机 不 存在 ,也 可 能 是 链 路 未 连通 。 前 痢 
需要 检查 目标 主机 地 址 是 否 输入 正确 ; 后 者 震 要 重新 检查 链 路 是 否 连接 正确 或 链 路 上 配置 
是 否 正 确 , 包 括 路 由 兹 或 交换 机 的 配置 ,如 是 否 有 到 达 目 的 于 网 的 路 由 ? aR 8) IE E. DU] 
震 检 查 是 人 否 配置 有 ACL 等 阻止 源 问 访问 的 命令 等 。 这 种 链 路 不 通 的 情况 很 多 ,需要 根据 
实际 情况 一 步 步 检 查核 实 。 

2) request timed out 

这 种 情况 表示 “请 求 超时 ”, 其 原因 也 可 能 有 多 种 ,例如 本 机 IP 地 址 设置 错误 ,可 以 通过 
ipconfig 查看 确认 ; 第 二 种 可 能 是 配置 网 关 销 误 , 同 样 可 以 通过 ipconfig 查看 确认 ; 第 三 种 
是 配置 静 芒 路 由 协议 时 ,是 否 有 配置 回程 路 由 ; 第 四 种 情况 是 当 配 置 了 ACL 时 ,是 人 否 有 过 

3) ping request could not find host 

这 种 情况 是 在 ping 菏 个 网 址 的 情况 下 才 会 出 现 的 ,原因 是 无 法 将 域名 解析 到 对 应 的 IP 
地 址 ,ping 无 法 识别 主机 ,因此 需要 检查 DNS 设置 是 耕 正 确 , 确 保 能 够 正确 解析 。 
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1.5.3 tracert 


tracert 命令 是 Windows 操作 系统 下 的 一 个 命令 行 工 具 , 其 作用 是 退 踊 并 显示 数据 包 到 
达 目 的 网 络 的 过 程 中 ,所 经 过 的 多 台 路 由 融 的 了 P 地 址 , 即 所 经 过 的 跳 数 。tracert 同样 也 有 
许多 参数 ,可 以 通过 tracert -? 查看 ,例如 第 用 的 -d 参数 不 将 域名 地 址 解析 成 主机 名 ( 即 不 
使 用 DNS 解析 ) . -h 参数 设置 搜索 目标 的 最 大 路 点 数 (默认 最 大 30 跳 ) 等 。 常 用 方法 是 
tracert 加 一 个 IP 地 址 或 者 域名 。 用 法 如 下 ， 


tracert 192.168.2.1 // 奶 踩 到 达 目 的 主机 的 路 由 过 程 
tracert 一 d www. cisco. com / NEE 8] 3 H AY ERI er h GERE 


从 图 1-13 中 可 知 ,数据 包 从 当前 设备 出 发 ,经 过 192.168. 1. 254,176. 16. 1. 2 后 到 达 目 
的 主机 192. 168. 2. 1。 图 中 显示 数据 一 共 五 列 , 第 一 列 为 生存 时 间 (TTL,Time-To-Live)， 
每 经 过 一 个 设备 TTL 增加 1。 然 后 紧 接 着 三 个 时 间 分 别 为 ICMP 数据 到 达 该 跳 的 最 快 时 
间 .平均 时 间 和 最 慢 时 间 。 最 后 一 列 是 该 设备 的 IP 地 址 。 在 现实 网 络 环 境 中 ,有 的 路 由 器 
出 于 安全 考虑 ,禁止 响应 ICMP 包 , 所 以 可 能 返回 * 号 , 即 请 求 超 时 。 

在 Windows 操作 系统 下 ,有 结合 ping 与 tracert 的 工具 一 一 pathping。 功 能 为 两 者 结 
合 ,此 处 不 再 歼 述 。 


cs C: VTINDOTS\systenm32\cnd. exe 


G:*»tracert -d 192.168.2.1 


Iracing route to 192.168.2.1 over a maximum of 30 hops 


¿i me či me <i ms i192.168.1.254 
ii ms 11 ms ii ms 172.16.1.2 
Ee 13 ms 13 ms i192.1698.2.1 


Trace complete. 


C:\>, 


图 1-13 tracert 命令 示例 


习题 与 思考 


1. 计算 机 网 络 有 哪些 组 成 要 率 ? 各 要 素 分 别 要 实现 哪些 功能 ? 
2. 什么 是 计算 机 网 络 体系 结构 ? 为 何 有 了 OSI 参考 模型 之 后 ,还 需要 TCP/IP 参考 模 
型 ? 两 者 的 本 质 区 别 体现 在 哪里 ? 
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3. 计算 机 网 络 中 ,有 哪些 典型 的 协议 ? 这些 协议 是 如 何 为 系统 提供 服务 的 ?你 能 根据 
实际 应 用 的 需要 ,设计 更 好 的 网 络 协议 吗 ? 

4. 什么 是 云 计 算 ? 什么 是 物 联 网 ? 什么 是 大 数据 ? 什么 是 边缘 计算 ? 什么 是 筋 计算 ? 
什么 是 D2D? 什么 是 5G? 什么 是 6G? 它们 有 什么 异同 和 内 在 联系 ? 

5. 根据 你 对 目前 计算 机 网 络 发 展现 状 的 了 解 , 简 述 未 来 5 一 10 年 ,计算 机 网 络 将 会 朝 
什么 方 回 发展。 发 展 到 什么 程度 ?给 人 们 学 习 \ 工 作 、 生 活 带 来 哪些 变化 ? 


25 


WW 


校园 网 项 目 设计 与 子 项 目 分 解 


本 章 以 校园 网 建设 项 目 为 对 象 ,系统 分 析 校 园 网 建设 的 需求 ,设计 校园 网 的 整体 拓扑 结 
构 , 从 核心 层 ,汇聚 层 、 接 入 层 三 个 层面 详细 介绍 各 层 的 设计 方法 ,给 出 每 个 层面 的 任务 和 推 
荐 设备 ,从 路 由 、 交 换 、 安 全 与 出 口 三 个 子 项 目 分 解 了 校园 网 的 整体 架构 ,并 给 出 本 书 的 知 


2.1 校园 网 建设 项 目 需求 分 析 


项 目 需 求 分 析 是 软件 工程 学 科 的 一 个 重要 组 成 部 分 。 软 件 工程 中 有 专门 的 需求 工程 ， 
是 指 应 用 已 证 实 有 效 的 技术 方法 进行 需求 分 析 ,确定 客户 的 需求 ,帮助 需求 分 机 人 员 理 解 
问题 并 清晰 定义 目标 系统 。 需 求 分 析 是 校园 网 建设 的 开始 环节 ,也 是 决定 校园 网 建设 成 功 
与 否 的 关键 。 


2.1.1 网 络 平台 需求 


校园 网 是 大 学 师 生 访问 互联 网 .访问 图 书馆 电子 数据 库 .无 纸 化 办 公 ,资源 共享 .学 习 等 
信息 化 基础 设施 ,是 现代 化 智慧 校园 必 不 可 少 的 建设 项 目 。 

校园 网 应 至 少 建立 两 个 出 口 : 一 个 是 互联 网 出 口 ,一 般 租 用 运营 商 的 网 络 ,如 租用 中 国 
电信 ,中 国 移动 或 中 国联 通 的 网 络 均 可 ,用 于 师 生 访问 互联 网 ; 另 一 个 是 中 国教 育 科 人 研 网 出 
口 ,连接 中 国教 育 科 研 网 ,如 访问 图 书馆 的 各 种 教育 科研 数据 库 。 

校园 网 覆盖 范围 广 , 用 户 密集 ,除了 教师 上 课 、 学 生 上 网 之 外 ,还 包含 众多 的 二 级 学 院 、 
行政 单位 ,工程 实验 中 心 、 虚 拟 仿 真实 验 中 心 .科研 重点 实验 室 、 人 研究 所 等 ,校园 网 络 设计 要 
求 高 带宽 ,保证 高 峰 时 段 师 生 访问 网 络 的 流畅 高 效 。 因 此 ,校园 网 建设 将 采用 先进 的 高 速 
宽带 IP 网 络 技术 ,连接 学 校 各 学 院 、 各 行政 单位 .图 书馆 、 各 实验 室 、 人 研究 所 、 学 生 和 宿舍 等 。 
除 此 之 外 ,为 了 满足 师 生 移动 办 公 的 需求 , 智 意 校园 网 还 要 求 无 线 WiFi 4E. Ug] 
可 以 在 校园 内 随时 随地 使 用 移动 设备 访问 移动 互联 网 。 

校园 网 的 主干 线 设 计 中 ,核心 主 节 点 将 以 光纤 网 络 为 基础 ,其 他 各 单位 采用 层次 式 扩 展 
星 型 网 络 结构 相互 连接 ,多 种 接 入 方式 和 高 速 网 络 技术 的 采用 ,为 校园 网 提供 了 高 度 的 灵活 
性 ,目的 是 以 尽 可 能 高 的 速度 连接 尽 可 能 多 的 用 户 ， 

校园 网 建设 遵循 以 下 原则 : 

(1) 符合 开放 系统 互联 体系 结构 。 校 园 网 仍然 采用 TCP/IP 体系 结构 。 
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(2) 应 具有 先进 性 、 灵 活性 、 可 伸缩 性 。 校 园 网 不 要 求 一 步 到 位 ,一 开始 就 采用 最 新 的 
技术 ,购买 最 贵 的 设备 ,但 要 适当 考虑 先进 性 ,在 预算 允许 的 条 件 下 ,要 能 使 用 5 一 10 年 ,所 
及 用 技术 应 该 易于 同 下 一 代 技 术 平 滑 过 渡 。 

(3) 应 具有 可 徘 性 。 对 广 域 互 联 、 核 心 主干 网 络 等 应 部 署 备份 线路 和 设备 ,采用 先进 的 
容 馈 扩 术 。 

(4) 应 具有 安全 性 。 保 证 校园 网 络 的 安全 运行 ,减少 病毒 和 黑客 攻击 给 网 络 市 来 的 


影响 。 
2.1.2 功能 与 性 能 需求 


校园 网 是 智慧 城市 基础 设施 的 重要 组 成 部 分 ,是 智 翡 校园 的 心脏 和 血管 ,校园 网 结合 
动 互联 网 实现 智慧 校园 的 几乎 所 有 功能 。 主 要 体现 在 如 下 几 个 方面 : 

CD 校内 访问 服务 。 校 内 的 师 生 和 绝 大 部 分 办 公 室 ,除了 像 财务 处 这 种 涉及 财务 信息 
或 者 需要 处 理 敏感 信息 的 部 门 之 外 ,都 有 访问 外 部 互联 网 的 需求 , 现 有 部 分 高 校 主要 还 是 
100Mb/s 到 采 面 计算 机 ,应 该 逐步 升级 到 1000Mb/s 到 果 面 计算 机 ; 师 生 还 需要 访问 党校 
对 外 提供 服务 的 服务 右 ,如 学 校 和 各 学 院 门 户 网 站 ,电子 邮件 等 ; 此 外 ,校内 师 生 应 该 直接 
能 够 高 速 访问 校内 各 公共 服务 资源 ,如 图 书馆 电子 数据 库 、 信 息 中 心 的 FTP 和 各 种 教学 资 
源 库 等 ,校内 带宽 应 该 达到 1000Mb/s。 

(2) 校外 访问 服务 。 校 外 人 员 要 能 随时 随地 访问 学 校门 户 网 站 和 电子 邮件 等 服务 需 资 
源 ; 因 教 师 在 校外 或 出 差 办 公 时 ,需要 通过 VPN 连接 校园 网 ,以 便 访问 图 书馆 电子 资源 或 
校内 办 公 系 统 。 关 于 性 能 ,校外 访问 服务 应 该 访问 流畅 .不断 网 。 

(3) 无 线 访问 服务 。 随 着 万 物 互 联 时 代 的 到 来 ,为 了 让 校内 师 生 都 能 随时 随地 进行 无 
线 办 公 和 访问 网 络 , 校 园 网 无 线 履 盖 已 经 成 为 现代 智慧 校园 网 的 重要 标志 ,也 是 高 校 信息 中 
心 的 重要 运 维 项 目 。 这 就 需要 WiFi 无 线 AP 的 数量 设置 合理 ,校园 全 和 覆盖、 无 死角 。 关 于 
性 能 方面 ,要求 能 够 根据 学 校 师 生 总 数 满足 一 和 定 容 量 的 高 并 发 .流畅 访问 互联 网 。 

(4) 门禁 监控 服务 。 校 内 各 机 关 、 各 学院、 教学 中 心 .宿舍 等 部 有 各 日 的 门禁 和 视频 监 
控 系 统 , 例 如 本 学 院 实验 中 心 、 人 研究 所 、 工 程 中心 、 重 点 实验 室 等 都 有 门禁 和 视频 监控 系统 ， 
方便 师 生 使 用 校园 卡 进出 各 实验 和 研究 场所 。 每 个 学 院 有 自己 的 网 络 管理 中 心 ,学 校 有 信 
息 中 心 , 钠 责 管 理 门 禁 监 控 服 务 。 关 于 性 能 方面 ,门禁 要 求 能 够 快速 识别 校园 卡 , 也 可 以 使 
用 口令 密码 解锁 开关 门 ,监控 服务 要 求 能 够 清晰 识别 所 履 盖 沁 围 内 的 人 和 物品 ,视频 存储 能 
够 文 持 回放 一 个 月 。 


2.1.3 ”硬件 选 配 与 集成 需求 


校园 网 的 用 户 数 量 庞大 ,一 般 部 有 2 万 一 4 万 全 日 制 和 学生, 包含 人 赋 究 生 和 博士 生 , 绝 大 
Hb ^F EH HO BITE BODL fb iln INR cKs SUR R LULJEAS SUR. E PES cR 384 3x 


验 中 心 .重点 实验 室 、 公 共 机 房 、 电 教室 等 都 有 许多 计算 机 需要 访问 网 络 , 用 户 和 终端 数量 都 
非常 多 。 


同时 ,校园 内 计算 机 和 服务 天 使 用 量 也 很 频 楷 ,公共 机 房 供 公 选 评 实 验 用 ,学 生 使 用 量 
As 重点 实验 室 和 工程 癸 究 中 心 等 可 能 需要 持续 使 用 设备 进行 实验 ,不 间断 运行 或 与 服务 
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入 交互 数据 。 所 以 ,如 此 庞大 的 用 户 使 用 量 和 设备 持续 运行 ,对 网 络 设备 和 便 件 基础 设施 提 

校园 网 的 网 络 设备 主要 包含 边界 路 由 冀 或 网 曾 \ 防 火 墙 \ 核 心 交换 机 ,汇聚 交换 机 、 接 入 
交换 机 、 服 务 瑚 群 、 无 线路 由 融 、 无 线 网 络 控制 着 、 光 电 转 换 各 等 ,使 件 基础 设施 包 合 光 统 、 超 
六 类 线 . 超 五 类 线 .不同 断 电 源 (UPS) 、 防 雷 接地 设备 等 。 

由 于 网 络 设备 和 便 件 基础 设施 上 月 吴 的 元 天 件 .超大 规模 集成 电路 等 便 件 技术 更 新 快 , 换 
代 频 么 ,其 设备 选 型 主要 突出 够 用 .实用 .好 用 的 原则 ,适当 兼顾 先进 性 和 扩展 性 ,无 顷 奶 求 
一 步 到 位 。 为 了 满足 校园 网 庞大 的 用 户 使 用 量 , 要 求 核 心 设 备 和 汇 肾 设备 具有 强大 的 事务 
Ab BEBÉ 7] . i xE B L/O 带宽 以 及 超 强 的 安全 性 与 稳定 性 ,以 满足 高 速 网 络 及 软件 使 用 的 需 
求 ,并 应 充分 考虑 到 未 来 3 一 5 年 终 问 使 用 量 不 断 增 加 对 业务 处 理 能 力 的 进一步 需求 。 此 
外 ,在 预算 允许 的 情况 下 ,可 以 适当 考虑 比 满足 当前 需求 更 高 一 级 配置 的 网 络 设 备 。 便 件 设 
备 集 成 要 求 各 设备 间 相 互 文 持 主流 的 路 由 和 交换 协议 ,能够 互联 并 协调 工作 ,具有 和 较 好 的 菲 
容 性 。 在 通信 线 绕 的 选择 方面 ,核心 层 设 备 的 连接 一 般 必 采 用 交 统 连接, 接 入 层 设备 的 连接 
一 般 必 采用 超 六 类 线 ,终端 跳 线 一 般 虱 用 超 五 类 线 。 


2.1.4 软件 系统 与 集成 需求 


校园 网 需要 提供 的 服务 种 类 繁多 ,分别 需 要 不 同 的 服务 融 提 供 服 务 ,这 些 服务 除 了 人 硬件 
设备 外 ,还 需要 软件 提供 文 持 。 
软件 包含 系统 软件 和 应 用 软件 。 系 统 软 件 主要 指 操作 系统 ,主流 有 Windows Server 系 


列 和 Linux 家 族 系 列 ,前 者 人 机 界面 丰富 .操作 简单 ,后 者 命令 操作 较 多 ,但 系统 在 服务 提供 
方面 性 能 稳定 。 


应 用 软件 种 类 繁多 ,校园 网 主要 包含 下 列 几 个 方面 的 应 用 : 

(OD 图 书馆 系统 。 图 书馆 资源 是 校园 网 十 分 重要 的 资源 ,包含 师 生 和 常用 的 各 种 学 习 资 
源 , 如 电子 阅览 室 .MOOC 课程 资源 、 学 位 论文 库 、 中 文 期 刊 、 外 文 期 刊 等 数据 库 , 还 有 和 馆藏 
书刊 的 借阅 和 归还 服务 等 。 

(2) 教学 管理 系统 。 该 系统 是 学 校 教 学 必 不 可 少 的 系统 ,一 般 也 是 学 校 较 早 采 用 的 信 
息 化 管理 系统 ,包含 教务 管理 模块 .教师 模块 和 学 生 模 块 。 教 务 管理 模块 包含 教师 排 课 、 教 
师 教 学 管理 .学生 管理 等 ,教师 模块 包含 教师 课表 查询 .调停 课 申 请 .课程 成 绩 登 记 、 学 生 毕 
业 设 计 等 工作 ,学 生 模 块 包含 学 生 选 课 、 教 学 评价 ,成绩 查询 等 。 

(3) 科研 管理 系统 。 该 系统 是 助力 学 校 科 研 业 务 能 力 提升 的 推动 力 , 是 科研 处 和 老师 
们 经 常 使 用 的 系统 ,主要 包含 项 目 信 息 登 记 、 人 员 申 请 ,项 目 信 息 汇 总 .科研 成 果 汇 总 等 
功能 。 

(4) 财务 管理 系统 。 学 校 一 切 财务 流转 都 要 经 过 该 系统 ,包含 学 校 各 类 经 费 管理 ,学生 
学 费 缴 交 ,教师 科研 项 目 报销 、 各 学 院 各 部 门 经 费 流转 等 。 

(5) 办 公 自 动 化 系统 。 学 校 OA 是 学 校 行 政 人 员 日 常 办 公 发布 通知 .接收 学 校 各 处 室 
内 部 文件 所 使 用 的 系统 ,行政 办 公 人 员 每 天 都 会 使 用 该 系统 。 

(6) 国有 资产 管理 系统 。 全 校 的 所 有 资产 ,都 由 该 系统 管理 ,包括 家 具 资 产 \、 设 备 资 产 
和 其 他 固定 资产 。 老 师 们 申请 到 的 横向 或 纵向 项 目 所 采购 的 设备 ,金额 大 于 省 里 或 学 校 指 
定 的 数额 时 ,都 要 登记 作为 学 校 资产 。 该 系统 主要 管理 资产 ,包含 资产 申请 、 转 移 ,报废 等 。 
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除了 上 面 这 些 主要 业务 系统 外 ,校园 网 还 有 很 多 其 他 的 应 用 系统 ,如 御 舍 管理 系统 、 各 
种 实验 室 管 理 系统 人事 管 理 系统 .后 勤 管理 系统 .校园 一 卡通 管理 系统 .网 络 安全 管理 系统 


2.1.5 绽 合 布线 与 机 房 建设 需求 


校园 网 建设 的 综合 布线 需求 部 分 ,主要 考虑 包括 布线 工程 设计 、 技 术 依 据 、 设 计 标 准 和 
系统 选 型 .质量 管理 措施 ,测试 内 容 等 。 综 合 布 线 系统 包含 工作 区 子 系 统 、 水 平子 系统 、 垂 直 
干线 子 系统 .管理 子 系统 .设备 间 子 系统 、 建 筑 群 子 系统 共 六 大 子 系统 ,既是 所 有 网 络 设备 联 
系 写 应 用 服务 提供 的 桥梁 ,也 是 校园 网 络 系统 能 够 正常 发 挥 效 用 的 基础 。 

综合 布线 系统 运行 期 限 远 远 超 过 网 络 系统 和 应 用 系统 的 使 用 寿命 ,其 设计 和 施工 质量 
的 好 坏 下 接 影响 校园 网 现在 和 将 来 的 正常 运营 。 因 此 ,综合 布线 系统 设计 应 该 严格 遵循 相 
应 的 标准 和 规范 ,并 以 实用 性 、 先 进 性 D ETE, 灵活 性 和 多 管理 等 作为 说 计 基 本 原则 ,同时 
考虑 在 该 系统 上 的 未 来 应 用 。 

校园 网 系统 主干 及 重要 的 文 干 链 路 要 能 够 文 持 万 兆 光 纤 或 者 以 太 网 等 高 速 网 络 技术 。 
————— EE 也 要 考虑 未 来 高 速 网 络 技术 下 的 升级 入 容 ， 
并 预 留 适当 的 元 余 。 综 合 布线 系统 在 建设 初期 还 有 可 能 受 建 设 资 金 的 影响 只 能 完成 部 分 的 
建设 ， 因此 该 系统 的 需求 分 析 阶 段 应 在 统一 规划 的 原则 基础 上 元 分 考虑 后 期 设计 及 实施 的 
空间 ,使 系统 建设 能 够 分 期 平滑 地 延续 进行 ,保证 投资 得 以 充分 合理 的 利用 。 各 区 域 子 系统 
采用 开放 式 布线 系统 ,布线 系统 的 性 能 依 菲 优良 的 规划 设计 来 实现 ,而 质量 依 徘 严格 的 工程 
管理 来 保障 。 

大 学 信息 中 心 的 校园 网 核心 机 房 建设 是 校园 网 规划 .设计 与 建设 的 重要 组 成 部 分 ,每 个 
学 院 还 有 目 己 的 中 小 型 网 络 机 房 。 在 校园 网 规划 与 设计 中 ,机 房 建设 涉及 到 多 种 专业 技术 
的 综合 己 集 成 ,在 保证 合适 大 小 场地 的 前 提 下 ,主要 包含 供 配 电 技 术 、 空 调 技 术 、 搞 干扰 技 
徘 运 行 要 依 蚕 信 息 中 心机 房 严 格 的 上 述 技术 条 件 来 保证 ,必须 满足 校园 网 系统 以 及 工作 人 
员 对 温度 .湿度 .清光 度 、 风 速度 .电磁 场 踢 度 .电源 质量 噪音、 照明 振动、 防火、 防盗 、 防 雷 、 
屏蔽 和 接地 等 要 求 ,以 及 确保 工作 人 员 的 身心 健康 。 


2.1.6 网 络 沼 理 与 安全 需求 


网 络 管理 是 校园 网 络 正常 运营 必 不 可 少 的 重要 部 分 ,校园 网 络 建成 后 ,对 网 络 的 运行 
维护 管理 成 为 网 络 集成 商 和 用 户 所 面 对 的 一 个 丰 正 棘手 的 问题 ,; 网 络 设 备 日 益 增 多 ,主要 
是 交换 机 、 路 巾 硕 防火墙 .服务 需 等 ; 网 络 服务 越 来 越 丰 富 ,主要 包含 业务 系统 访问 、 视 频 
会 议 .视频 点 播 等 ; 网 络 技术 越 来 越 复杂 ,主要 有 流量 控制 .安全 访问 控制 .多 媒体 服务 质量 
保证 等 ,尤其 增加 了 无 线 网 络 校园 全 覆盖 ,这 对 校园 网 络 管理 者 提出 了 新 的 挑战 。 因 此 ,在 
校园 网 络 设计 中 ,必须 考 夸 网 络 的 配置 .维护 .管理 答 单 易 行 ,为 网 络 的 正 稼 运行 维护 提供 一 
个 功能 强大 且 简 便 易 行 的 管理 手段 。 具 体 需 求 如 下 : 

(OD 配置 管理 。 配 置 管理 的 功能 是 掌握 和 控制 校园 网 络 的 运行 状态 ,包括 网 络 内 各 设 
备 的 状态 及 其 连接 关系 。 配 置 管理 包括 了 以 下 3 个 方面 的 内 容 : 获得 关于 当前 网 络 的 配置 
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信息 ; 提供 远程 修改 设备 配置 的 手段 ; 存储 数据 .维护 一 个 最 新 的 设备 清单 并 根据 数据 产 

(2) 性 能 管理 。 性 能 管理 对 接 人 网 络 和 IP 地 址 的 流量 及 流速 进行 定时 采样 记录 ,保证 
校园 网 络 可 以 被 访问 从 而 使 师 生 能 有 效 地 使 用 它 。 运 用 性 能 管理 信息 ,管理 者 可 以 保证 网 
络 有 足够 的 容量 以 满足 师 生 的 需要 ,保证 网 络 维持 在 可 访问 和 不 拥挤 的 状态 ,为 师 生 提供 更 
好 的 网 络 访问 服务 。 

(3) 安全 管理 。 安 全 管理 是 整个 校园 网 络 管理 的 重要 一 环 , 通 过 防火 墙 认 证 ,授权 、 数 
字 签 名 .加密 传输 . 存 取 控制 、 安 装 安全 分 析 工 具 等 手段 实现 网 络 安全 控制 ,监视 网 络 访问 情 
况 ,通过 控制 信息 的 访问 点 保护 网 络 中 的 敏感 信息 。 

(4) 故障 管理 。 故 障 管理 是 保证 网 络 正 常 运行 至 关 重 要 的 一 个 部 分 ,目的 是 保证 网 络 
正 背 运行 ,检测 .定位 和 排除 网 络 硬件 和 软件 中 的 故障 ,尽量 减少 故障 发 生 的 频 度 .消除 故障 
产生 的 隐患 。 当 出 现 故障 时 ,该 功能 确认 故障 的 发 生 , 记 录 故 障 现象 , 找 出 故障 位 置 并 尽 可 
能 排除 这 些 故 障 。 

(5) 计 费 管理 。 计 费 管理 主要 记录 网 络 资源 的 使 用 情况 ,目的 是 控制 和 监测 网 络 操作 
的 费用 和 代价 。 计 费 管理 系统 会 对 学 生 使 用 网 络 收取 一 定 的 费用 ,可 以 按 流 量 计 费 , 也 可 以 
包月 使 用 。 此 外 , 它 还 可 以 估算 出 师 生 使 用 网 络 资源 的 情况 。 网 络 管理 员 还 可 设 定 师 生 可 
使 用 的 最 大 网 络 流量 ,从 而 控制 少数 用 户 过 多 占用 和 使 用 校园 网 络 资源 。 

网 络 安全 需求 是 指 校园 网 络 系统 的 便 件 .软件 及 其 系统 中 运行 的 数据 都 能 受到 安全 保 
护 ,不 因 偶 然 或 恶意 攻击 而 遭受 到 破坏 . 算 改 .泄露 ,校园 网 网 络 服务 能 够 连续 .可靠 、 正 稼 地 
运行 。 网 络 安全 要 求 具 备 对 数据 的 保密 性 .完整 性 .可 用 性 .可 控 性 .可 审查 性 。 

从 校园 网 网 络 管理 员 的 角度 而 言 , 要 保证 校园 网 络 能 够 正常 运行 ,全 校 师 生 对 校园 网 络 
信息 的 访问 \、 读 写 等 操作 均 要 受到 保护 和 控制 ,避免 出 现任 何 病毒 、 非 法 访问 拒绝 服务 、 非 
法 占用 和 非法 控制 等 威胁 ,制止 和 防御 任何 网 络 黑客 的 攻击 。 

基于 TCP/IP 技术 的 网 络 之 所 以 成 为 目前 最 流行 的 校园 网 络 传输 平台 ,与 其 开放 性 和 
标准 化 是 不 可 分 开 的 。 与 之 俱 来 的 则 是 对 校园 网 络 安全 的 威胁 ,非法 入 侵 时 和 常 发 生 , 算 改 破 
坏 数 据 .非法 访问 ,不 经 授权 的 网 络 接 人 、 客 取 各 种 办 公信 息 以 及 病毒 爆发 引起 的 数据 丢失 、 
网 络 次 痪 等 使 得 校园 网 络 的 建设 必须 考虑 评估 校园 网 络 的 安全 。 为 解决 校园 网 络 安全 问 
题 ,在 设计 中 应 采用 以 下 技术 手段 。 

(1) 教师 用 户 需 要 认证 才能 上 网 ,学 生 用 户 则 需要 通过 认证 或 者 获得 教师 允许 才 可 上 
网 ,并 实现 可 徘 的 数据 备份 和 恢复 手段 。 

(2) 网 络 设备 自身 设置 访问 控制 列表 ,主要 是 防火 墙 、. 路 由 融和 交换 机 。 使 用 防火 墙 隔 
离 内 部 网 络 和 外 部 网 络 , 不 允许 外 部 用 户 直 接 访问 内 部 Web 服务 右 、 图 书 借阅 服务 器 、 财 务 
数据 库 和 OA 服务 器 。 

(3) 网 络 用 户 级 安全 与 数据 传输 级 安全 ,网 络 用 户 级 的 安全 性 应 在 网 络 的 操作 系统 中 
予以 考虑 ,而 数据 传输 的 安全 性 则 必须 在 网 络 传 输 时 解决 。 

(4) 配置 集中 式 安全 管理 软件 。 包 括 : 安全 扫描 软件 ,对 网 络 系 统 安 全 进行 监视 和 检 
测 ; 入 侵 检 测 系统 , 对 网 络 行为 进行 实时 监控 ; 网 络 集中 式 防 病毒 系统 ,隔离 网 络 病毒 ; A 
号 访问 平台 和 内 部 网 络 之 间 配 置 认 证 系统 。 

(5) 既 要 考虑 信息 资源 的 充分 共享 ,更 要 注意 信息 的 保护 和 隔离 ,因此 系统 应 分 别针 对 


z23& ”校园 网 项 目 设 计 与 子 项 目 分 解 


不 同 的 应 用 和 不 同 的 网 络 通信 环境 ,采取 不 同 的 措施 ,包括 端口 隔离 .路 由 过 滤 、 防 DDoS IX 
击 . 防 IP 扫 摘 . 系统 安全 机 制 、. 多 种 数据 访问 权限 控制 等 ,有 多 种 的 你 护 机 制 , 如 划分 
VLAN,IP/MAC 地 址 绑 定 (过 滤 )、SSH 加 密 连 接 等 具体 技术 提升 整个 校园 网 络 的 安全 性 。 


2.2 校园 网 整体 拓扑 结构 设计 


校园 网 整体 拓扑 结构 如 图 2-1 所 示 , 网 络 对 外 出 口 由 边界 路 由 器 承担 ,该 路 由 器 的 两 个 
Serial 接口 分 别 连 接 运 彰 商 网 络 (Internet) 和 中 国教 育 科 全 网 (CERNET) . — P 7F JE 2x 77 JE 
以 太 网 接口 连接 防火 场 。 防 火 二 的 外 部 接口 连接 边界 路 由 硕 ,DMZ 接口 是 受 防 火场 保护 的 
隔离 区 ,通常 连接 光 交 换 机 再 连接 对 外 提供 服务 的 服务 天 和 群 , 如 WWW、DNS MAIL 等 ,两 
个 对 内 的 千 兆 或 万 兆 以 太 网 接口 连接 核心 交换 机 , 即 连接 内 部 主体 网 络 。 

边界 路 由 器 也 称 为 校园 网 网 关 或 网 闸 , 通 党 需要 具备 网 络 安全 防护 、 上 网 行为 管理 、 
VPN 互联 、 内 容 审 计 、 应 用 流量 省 理 \ 广 域 网 加 速 等 关键 服务 能 力 , 可 以 选择 思科 华为、 中 
兴 , 星 网 锐 捷 等 企业 的 相关 设备 。 如 思科 Cisco ASR 1000, 可 提供 高 可 靠 性 和 高 性 能 的 广 
域 网 边缘 解决 方案 ,将 信息 .通信 协作 和 商务 融 为 一 体 ; 或 华为 NetEngine5000E、 
CX6600、AR3200 系列 等 融合 路 由 、 交 换 .语音 、 安 全、 无 线 等 功能 于 一 体 的 高 性 能 路 由 着 。 
在 高 校 校园 网 市 场 , 锐 捷 公 司 所 占 份额 较 大 ,在 安全 出 口 设 备 上 持续 研发 新 产品 ,如 RG-EG 
系列 多 业务 安全 网 关 、RG-DDI 系列 网 络 服务 控制 希 、RG-ACE 系列 流量 控制 引擎 等 都 是 边 
界 安全 出 口 不 错 的 选择 。 

防火 墙 是 整个 校园 网 络 安全 架构 中 必 不 可 少 的 安全 卫士, 承担 着 安全 防护 ,应 用 控制 、 
安全 连接 .多 运营 商 链 路 加 速 等 多 维度 的 复杂 任务 ,可 以 选 配 思科 Firepower 4100 系列 、 
Cisco ASA 5500 系列 等 状态 防火 墙 , 适 用 于 互联 网 边缘 和 高 性 能 环境 ; 或 华为 USG9500 系 
列 \USG6600 系列 面 癌 校园 网 ,大 中 型 企业 、 机 构 及 下 一 代数 据 中 心 推出 的 万 兆 AT 防火 墙 ; 
或 锐 捷 RG-WALL 1600-X9850 全 新 下 一 代 防 火 墙 `.RG-WALL 1600 全 新 下 一 代 防 火 墙 、 
RG-WALL 1600-E 系列 下 一 代 防 火 墙 等 。 

在 本 书 中 ,访问 控制 列表 、 网 络 地 址 转换 等 技术 主要 在 边界 路 由 天 上 实现 。 在 实际 网 络 
中 ,除了 边界 路 由 希 外 ,还 有 防火 才 .交换 机 可 以 实现 上 述 功 能 。 


2.2.1 核心 层 设 计 


校园 网 主体 网 络 结构 通常 由 三 层 组 成 ,核心 层 . 汇 聚 层 . 接 人 层 。 

校园 网 根据 学 校 所 辖区 域 的 大 小 不 同 , 其 核心 层 主 干 网 有 不 同 的 结构 。 如 来 区 域 比 较 
小 、 经 费 预算 不 够 的 情况 下 ,可 以 考虑 采用 单 核 心 的 高 性 能 多 业务 交换 机 ,如 条 预算 合适 , 则 
可 以 考虑 双核 心 双 机 热 备 的 高 性 能 多 业务 交换 机 。 

如 人 果 所 辖区 域 面 积 较 大 ,如 大 和 尝 城 新 校区 ,通常 郡 是 数 十 万 平方 米 , 包 含 几乎 所 有 的 文 
等 ,网 络 规模 庞大 ,设备 数量 多 ,校园 网 核心 层 采用 双核 心 就 显得 不 够 用 了 。 因 此 ,建议 采用 
如 图 2-1 所 示 的 环形 染 构 。 在 该 环形 染 构 中 ,每 个 大 的 楼 群 均 可 设 一 个 主 太 挟 ,如 文科 楼 群 
主 太 扩 、 理 科 楼 群 主 古 扣 工科 楼 群 主 古 扩 、 教 竺 楼 群 主 太 扩 、 和 学 生 箱 舍 楼 群 主 太后 \ 行 政 楼 主 
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节点 图 书馆 主 节点 ,这 些 主 节点 最 后 连接 信息 中 心 的 主 节点 交换 机 ,如 图 2-2 所 示 。 
信息 中 心 主 节 点 


文科 楼 群 主 节点 Na P gb 图 书馆 主 节点 
| -| : 


go UBBE TA 


工科 楼 群 主 节点 学 生 宿舍 楼 群 主 节点 


教学 楼 群 主 节点 
图 2-2 校园 网 核心 层 设 计 


各 主 贡 点 交换 机 由 于 相互 之 间距 离 较 远 ,它们 之 间 第 采用 单 模 光纤 互联 ,提供 万 兆 市 
宽 ,支持 校园 网 内 部 的 高 速 数据 转发 和 高 QoS 保障 。 这 些 主 节点 均 可 选择 高 性 能 多 业务 交 
换 机 ,可 选 配 思科 公司 最 新 的 400G 以 太 网 交换 机 (High Capacity 400G Data Center 
Networking) ,或 思科 Catalyst 9400 系列 交换 机 , 专 为 物 联 网 和 云 环境 而 设计 , 且 内 置 安全 
功能 ; 或 华为 S12704 ,华为 S7712 等 高 性 能 路 由 交换 机 ; 或 锐 捷 Newton 18000 系列 ,采用 
先进 的 软 人 硬件 架构 设计 ,如 CLOS 多 级 多 平面 交换 架构 ,提供 持续 的 带 锅 升级 能 力 和 业务 
支撑 能 力 , 是 目前 较 高 配置 的 核心 交换 机 之 一 ,或 锐 捷 RG-S8600E 系列 云 架构 网 络 核心 交 
换 机 , 面 回 云 架构 网 络 设计 的 核心 交换 机 ,也 是 业界 支持 云 数据 中 心 特性 和 云 校园 网 特性 ， 
实现 云 染 构 网 络 融 合 、 虚 拟 化 、 灵 活 部 皮 的 新 一 代 云 染 构 网 络 核心 交换 机 ，。 

在 本 书 中 ,学校 核心 层 主 节点 之 间 可 以 配置 各 种 路 由 协议 ,实现 各 片区 主 节 点 之 间 的 互 
联 互通 ; 还 可 以 配置 VLAN 和 相关 的 交换 协议 ,实现 数据 的 高 速 转发 。 

此 外 ,学校 信息 中 心 的 核心 交换 机 上 还 需要 连接 学 校内 部 的 数据 库 . 资 源 库 和 服务 需 
群 , 如 信息 发 布 平台 .统一 身份 认证 平台 、 运 维 服务 管理 .视频 点 播 服 务 .MOOC FUNT 
等 ,它们 对 校内 师 生 提供 高 速 网 络 访问 服务 。 这 些 服务 天 在 校外 不 能 和 直接 访问 到 ,需要 通过 
VPN 等 先 连 接 校园 内 部 网 络 后 ,再 访问 这 些 服 务 器 。 


2.2.2 汇聚 层 设计 


各 主 节 点 所 辖 二 级 学 院 、 各 片区 教学 楼 、 各 片区 宿舍 楼 等 作为 学 校 校园 网 的 汇聚 层 , 如 
工科 楼 群 主 节 点 下 面包 含 信息 学 院 、 通 信和 学 院 、 自 动 化 学 院 、 人 工 智 能 学 院 、 网 络 空间 安全 学 
院 等 工科 学 院 , 这 些 学 院 的 核心 交换 机 作为 校园 网 的 汇聚 层 交 换 机 ,上 连 到 工科 楼 群 主 市 
点 ,形成 向 外 辐射 的 扩展 星 型 结构 ,如 图 2-3 所 示 。 

由 于 各 工科 学 院 和 工科 楼 群 主 节 点 的 距离 不 会 特别 远 , 因 此 ,各 学 院 核 心 交 换 机 可 采用 
万 浪 或 干 兆 多 模 光 纤 上 连 至 学 校 工科 楼 群 主 广 点 。 各 学 院 的 核心 交换 机 即 构 成 校园 网 的 汇 
聚 层 , 也 要 求 具备 高 性 能 的 综合 业务 处 理 能 力 , 通 常 可 以 选 配 思科 Catalyst 3850, Catalyst 
3650 系列 ,或 华为 S5720 系列 ,或 锐 捷 RG-S6100、RG-S5750H 系列 等 汇聚 层 交 换 机 ,拥有 
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高 性 能 鲁 件 架构 和 模块 化 软件 平台 开发 ,具备 先进 的 人 硬件 处 理 能 力 、 丰 宣 的 业务 特性 ,满足 


用 户 对 校园 网 高 密度 接 入 、 高 性 能 汇聚 的 使 用 需求 。 


在 本 书 中 ,学 校 的 汇 取 层 交 换 机 和 核心 层 主 节 点 之 间 可 以 配置 各 种 路 由 协议 、VLAN 


间 路 由 、 路 由 元 余 、 交 换 元 余 协议 等 。 
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2.2.3 接 入 层 设计 


在 学 院内 部 ,不 同 的 系 汇聚 点 、 实 验 中 心 、 重 点 实验 室 、 工 程 技术 人 研究 中 心 等 教学 单位 和 
科研 平台 等 都 有 上 自己 的 核心 交换机 ,它们 作为 学 院 的 汇聚 层 交 换 机 ,同时 ,也 是 学 校 校 园 网 
的 接 入 层 ,如 图 2-4 所 示 。 这 些 交 换 机 到 学 院 的 核心 交换 机 之 间 的 距离 一 般 不 会 太 长 ,如 采 
超过 100m, 则 可 采用 多 模 光 纤 ,提供 千 兆 光 链 路 ; 如 果 小 于 100m, 则 可 以 采用 超 六 类 线 , 提 


供 千 兆 电 链 路 。 
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各 实验 室 、 办 公 室 内 部 连接 终端 计算 机 的 交换 机 为 各 学 院 的 接 入 层 交 换 机 ,具备 一 定 的 
网 络 管理 . 接 人 认证 能 力 即 可 ,无 须 配 置 非 党 高, 能够 提供 千 兆 带宽 接 人 即 可 , 现 有 校园 网 也 
有 百 兆 带宽 到 时 面 计算 机 的 。 学 院 的 汇聚 层 , 作 为 学 校 的 接 入 层 , 这 层 交 换 机 可 以 选 配 思科 
Catalyst 3560、Catalyst 2960 系列 ,华为 S2700 系列 ,或 锐 捷 RG-S3760E, RG-S2910XS-E 系 


列 等 接 入 层 交 换 机 。 
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上 述 学 院 汇 聚 层 交 换 机 和 接 入 层 交 换 机 都 可 以 归纳 为 学 校 校 园 网 的 接 入 层 , 这 个 没有 
韭 常 严格 的 规定 。 同 样 ,也 可 以 认为 各 和 学院 的 核心 交换 机 为 学 校 校 园 网 的 一 级 汇聚 层 , 学 阮 
的 汇聚 层 交 换 机 为 学 校 校 园 网 的 二 级 汇聚 层 , 这 样 所 有 单位 的 接 入 层 交 换 机 就 是 学 校 校 
网 的 接 入 层 啦 。 

在 本 书 中 , 接 入 层 交 换 机 可 以 创建 VLAN ,配置 VPT, 协 助 配置 VLAN 间 路 由 等 。 


2.3 校园 网 子 项 目 分 解 


图 2-1 所 示 的 校园 网 网 络 拓扑 结构 中 ,展示 了 校园 网 设计 中 所 需 的 各 类 网 络 设 备 以 及 
这 些 设备 的 连接 关系 ,组 成 了 硬件 基础 设施 。 然 后 ,要 想 让 网 络 能 够 提供 正常 服务 ,数据 包 
能 够 正常 转发 ,还 需要 在 网 络 设备 上 配置 相应 的 网 络 协议 。 

本 书 将 以 图 2-1 所 示 校 园 网 为 项 目 育 晶 , 逐 步 教会 学 生 在 校园 网 中 如 何 分 析 和 配置 各 
种 协议 ,使 得 校园 网 能 够 正常 工作 。 

本 书 将 校园 网 项 目 分 成 3 大 部 分 ,主干 网 数据 路 由 了 于 项 目 , 学 院内 数据 交换 了 于 项 目 , 校 
园 网 整体 安全 和 出 口子 项 目 。 


2.3.1 路 由 子 项 目 


在 校园 网 项 目 中 ,每 个 主 世 点 都 下 辖 多 个 学 院 或 者 管理 单位 ,不 同 的 和 学院 或 管理 单位 都 
有 自己 的 多 个 不 同 子 网 ,所 有 这 些 子 网 组 合 在 一 起 组 成 子 网 数量 庞大 的 校园 网 。 

各 子 网 之 间 需 要 相互 访问 ,如 每 个 学 院 都 要 访问 教务 处 、 科 人 研 处 ,各 学 院 教 学 秘书 之 间 
需要 相互 访问 等 ,因此 数据 需要 跨越 不 同 的 子 网 ,必须 采用 路 由 技术 ,在 网 络 设 备 上 配置 路 
由 协议 来 实现 。 

路 由 协议 有 多 种 , 当 某 学 校 新 校区 一 期 建设 ,网 络 规 模 较 小 ,只 有 几 个 子 网 ,拓扑 结构 稳 
定时 ,网 络 管理 员 可 以 采用 静态 路 由 协议 ,明确 告诉 路 由 希 的 路 由 表 , 到 达 某 个 子 网 应 该 怎 
么 路 由 数据 包 。 这 时 ,路 由 硕 就 轻松 了 ,在 转发 数据 包 时 ,按照 设置 好 的 路 由 表 转 发 数据 就 
"AT. 

当 校 园 网 建设 到 二 期 ,三 期 后 ,网 络 规模 变 得 非常 大 , 子 网 数量 可 能 有 几 十 个 ,甚至 上 百 
个 ,管理 员 无 法 记 住 每 台 路 巾 硕 或 交换 机 到 达 每 个 子 网 的 路 由 ,从 而 无 法 册 配 置 静 态 路 由 协 
议 , 这 时 动态 路 由 协议 就 登台 了 。 校 园 网 不 管 规模 多 大 ,都 属于 学 校 信息 中 心 统一 管理 范 
畴 ,都 是 一 个 自治 系统 ,其 内 部 使 用 的 路 由 协议 都 属于 内 部 网 关 路 由 协议 (IGP)。IGP 常用 
的 动态 路 由 协议 有 路 由 信息 协议 (RIP) .增强 型 内 部 网 关 路 由 协议 (EIGRP) 开放 式 最 短路 
径 优先 协议 (OSPF) 三 种 ,这 三 种 都 是 本 书 学 习 的 重点 。 

网 络 管理 员 在 配置 上 述 动态 路 由 协议 时 ,只 需 在 路 由 器 上 启用 动态 路 由 协议 ,并 将 自己 
所 有 和 直接 连接 的 子 网 宣告 到 所 局 用 的 路 巾 协议 中 ,路 巾 希 就 能 运行 动态 路 由 协议 并 月 动 同 
步 其 他 路 由 器 的 路 由 信息 ,完成 路 由 表 的 学 习 和 更 新 ,也 能 在 网 络 发 生 故 障 后 自动 更 新 和 同 
步 。 这 样 ,网 络 管理 员 的 配置 工作 就 简单 了 ,网 络 的 上 自 愈 能 力 和 可 靠 性 也 得 到 增强 。 

综 上 所 述 ,本 书 在 路 由 子 项 目 上 将 分 成 静态 路 由 协议 、RIP、EIGRP、OSPF ,以 及 路 巾 协 
议 综合 等 知识 模块 。 实 验 设 备 为 思科 Cisco 2811 模块 化 路 由 需 。 
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2.3.2 交换 子 项 目 


校园 网 也 是 一 个 大 型 的 局 域 网 ,在 校园 网 内 部 ,快速 数据 交换 无 处 不 在 ,交换 技术 是 现 
代 局 域 网 技术 的 核心 ,也 是 本 书 重点 学 习 的 部 分 。 

在 校园 网 络 中 ,为 了 保障 网 络 的 可 靠 性 ,往往 会 在 交换 机 之 间 设 置 多 条 连接 ,组 成 交换 
环 路 。 物 理 的 交换 环 路 会 产生 重复 地 址 .地 址 表 不 稳定 .广播 风暴 等 诸多 严重 问题 ,导致 网 
络 性 能 低下 。 为 此 ,交换 机 的 生成 树 协 议 (STP) 可 以 解决 上 述 问 题 。 

交换 技术 最 重要 的 是 虚拟 局 域 网 (VLAN) 技 术 。 dni 
不 同 的 学 院 . 不同 的 区 域 ,不 同 的 物理 网 络 , 但 又 有 紧密 的 业务 往来 ,需要 经 稍 互 访 。 如 果 每 
个 学 院 为 其 教务 部 设置 不 同 的 物理 子 网 ， 则 他 们 之 间 的 互 访 需要 通过 路 由 来 实现 ,大 大 降低 
数据 转发 的 效率 。 如 果 能 够 跨越 不 同 的 物理 空间 人 逻辑 地 将 它们 组 成 一 个 子 网 , 则 不 同学 院 
教务 部 之 间 的 联系 就 如 同 在 一 个 子 网 内 部 ,数据 访问 变 得 直接 方便 ,这 种 方式 构建 的 逻辑 子 
IBI VLAN. ZAF KHU DL. VLAN 技术 是 现代 交换 技术 的 灵魂 ,是 我 们 学 习 的 重点 。 

学 院 的 每 台 交 换 机 根据 需要 都 要 创建 多 个 不 同 的 VLAN, 不 同 的 交换 机 之 间 需 要 通过 
Trunk 链 路 连接 和 识别 不 同 的 VLAN 数据 帧 。 在 校园 网 中 ,通过 Trunk 链 路 连接 的 所 有 
交换 机 之 间 都 创建 了 不 同 的 VLAN ,那么 如 何 有 效 管理 这 些 VLAN 呢 ,VTP 就 登场 啦 。 

不 同 的 VLAN 之 间 需 要 相互 访问 的 时 候 会 涉及 不 同 子 网 之 间 的 通信 问题 ,这 就 需要 子 
网 之 间 进 行路 由 , 即 需 要 路 由 协议 连通 不 同 的 子 网 ,这 就 是 VLAN 间 的 路 由 问题 。VLAN 
间 路 由 通常 有 两 种 解决 方案 : 一 种 是 添加 一 台 路 由 兹 ,设置 单 臂 路 由 来 实现 VLAN 间 路 
H; 另 一 种 无 需 路 由 器 ,只 需要 一 台 三 层 及 以 上 的 交换 机 ,通过 在 交换 机 上 设置 交换 虚 接口 
的 方式 实现 VLAN 间 路 由 。 

综 上 所 述 ,本 书 在 交换 子 项 目 上 将 重点 介绍 STP、VLAN Trunk, VTP, VLAN 间 路 
由 、 交 换 绽 合 等 知识 模块 。 实 验 设备 为 思科 Catalyst 3560 和 Catalyst 2960 交换 机 。 


2.3.3 安全 和 出 口子 项 目 


网 络 安全 已 经 引起 全 民 重 视 , 校 园 网 安全 更 是 校园 网 建设 与 管理 的 重 中 之 重 。 

校园 网 内 部 的 安全 可 以 在 边界 路 由 天 上 过 滤 可 能 存在 攻击 的 恶意 数据 包 , 册 经 过 防火 
墙 的 各 种 详细 的 数据 转发 策略 ,如 访问 控制 列表 (ACL) 等 操作 进一步 阻止 恶意 操作 。 还 可 
以 设置 入 侵 检测 系统 和 入 侵 防 御 系 统 , 共 同 为 校园 网 安全 保驾 护航 。 

教师 在 外 地 出 差 时 , 因 办 公 需 要 访问 学 校内 部 网 络 , 则 可 以 通过 虚拟 专用 网 (VPN ) 技 
术 连 接 内 部 网 络 ,然后 再 访问 相应 的 服务 。 

校园 网 包含 数量 众多 的 子 网 ,每 个 子 网 部 使 用 的 是 保留 的 私有 地 址 ,每 个 局 域 网 都 使 用 
这 些 地 址 ,它们 无 法 在 互联 网 中 被 识别 和 寻 址 。 每 个 子 网 的 主机 又 都 需要 访问 互联 网 , 需 
有 一 种 技术 能 将 校园 网 内 部 主机 使 用 的 私有 地 址 转换 为 能 够 在 互联 网 上 被 识别 的 公共 地 
址 ,这 种 技术 就 是 网 络 地 址 转换 (NAT)。NAT 一 般 在 校园 网 出 口 的 边界 路 由 器 上 进行 配 
置 和 实现 。 

在 校园 网 边界 路 由 器 处 ,通常 有 两 个 出 口 ,一 个 互联 网 出 口 ,一 个 教育 科研 网 出 口 。 根 
据 学 习 震 要 , 某 些 实验 室 只 让 访问 中 国教 育 科 人 研 网 , 茶 些 实验 室 只 能 访问 互联 网 ,这 就 要 求 
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在 边界 踏 由 冀 上 配置 策略 路 由 ,通过 路 由 图 来 实现 。 
综 上 所 述 , 本 书 在 安全 和 出 口子 项 目 中 重点 介绍 ACL NAT 等 知识 模块 。 实 验 设备 为 
思科 Cisco 2811 模块 化 路 由 器 和 思科 Catalyst 3560 和 Catalyst 2960 交换 机 。 


习题 与 思考 


1. 你 使 用 计算 机 网 络 主要 做 什么 ? 平时 使 用 哪些 类 型 的 网 络 ? 在 使 用 过 程 中 还 有 哪 
些 方面 觉得 不 方便 ? 

2. 在 计算 机 网 络 规划 与 设计 之 前 ,应 做 需求 分 析 。 你 认为 应 该 从 哪些 方面 进行 需求 分 
析 ? A FEO i ck rr HJ DL 25 ? 

3. 你 熟悉 你 们 学 院 的 网 络 拓扑 结构 吗 ? 包含 哪些 网 络 设备 ,中 间 是 如 何 连接 的 ,用 到 
了 哪些 线 费 ,这些 线 统 又 是 如 何 走 线 的 ? 如 果 不 清 楚 ,赶快 组 队 调 研一 下 吧 。 如 果 你 熟悉 ， 
也 请 把 它 画 出 来 ,组 队 一 起 讨论 研究 一 下 ,这 个 网 络 是 不 是 就 完全 满足 你 们 的 需求 了 ? 假如 
雷 要 升级 改造 ,应 该 从 哪些 方面 人 手 , 最 后 又 能 达到 什么 样 的 效果 呢 ? 

4. 你 熟悉 你 们 大 学 校园 网 的 网 络 拓扑 结构 吗 ? 知道 校园 网 机 房 是 怎么 部 署 的 吗 ? 包 
含 哪些 网 络 设 备 .中 间 如 何 连接 的 .用 到 了 哪些 线 缆 、 这些 线 缆 又 是 如 何 走 线 的 ? 如 果 不 清 
楚 ,赶快 组 队 调研 一 下 吧 。 
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学 习 计 算 机 网 络 ,使 用 计算 机 网 络 , 尤 其 是 学 习 网 络 协 议 、 学习 路 由 与 交换 技术 , 离 不 开 
网 络 设备 ,主要 是 路 由 器 和 交换 机 。 美 国 思 科 公 司 是 早期 的 网 络 设备 提供 商 , 中 国 的 华为 、 
中 兴 是 优秀 的 后 起 之 秀 , 思 科 的 互联 网 操作 系统 也 是 经 典 的 网 络 操作 系统 , 且 包 括 路 由 与 交 
换 等 许多 先进 网 络 技术 都 源 于 思科 。 因 此 ,本 章 详 细 介 绍 思 科 网 络 设备 和 思科 操作 系统 ,本 
书 以 此 作为 前 提 , 在 第 4 一 10 章 系 统 介 绍 路 由 与 交换 技术 。 


3.1 思科 网 络 设备 


思科 网 络 设 备 类 型 很 多 ,包括 路 由 设备 、 交 换 设 备 、 安 全 设备 、 无 线 设 备 、 服 务 冀 与 网 络 
存储 设备 等 ,本 书 重点 讲解 路 由 与 交换 技术 。 因 此 ,本草 重点 介绍 路 由 右 和 交换 机 。 


3.1.1 认识 路 由 器 


“ 工 欲 善 其 事 , 必 先 利 其 器 ”, 首先 应 当 认 识 我 们 要 操作 的 “船长 什么 样 。 路 由 需 以 
Cisco 2811 为 例 , 其 外 观 如 图 3-1 所 示 。 

图 3-1 为 思科 Cisco 2811 路 由 天 的 正面 外 观 , 按 稼 用 的 公制 单位 毫米 (millimeter,mmy) 
计算 ,Cisco 2811 路 由 器 的 高 度 为 44. 5mm ,宽度 为 438. 2mm ,深度 为 416. 6mm; 如 果 采 用 
英制 单位 表述 ,如 以 英寸 Cinch,in) 为 单位 , 则 Cisco 2811 路 由 需 的 高 度 为 1. 75in、 宽 度 为 
17. 25in ,深度 为 16. 4in。 对 于 网 络 设备 而 言 ,通常 称 这 个 高 度 为 一 个 “机 架 单 元 ”(rack 
unit) ,简称 为 1U 或 者 1RU。1U 与 其 他 单位 转换 的 转换 关系 为 : 1U—1. 75in—44. 45mm. 
我 们 可 以 说 ,在 标准 的 19in 机 架 上 , 它 占用 1U 的 高 度 。 常 见 的 设备 高 度 有 1U、2U、3U、4U 
或 者 更 多 ,如 图 3-2 所 示 。 


AU 


half-rack 


图 3-1 JUR $$ 2811 外 观 图 3-2 JE DLAS RU 2S EAT 
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Cisco 2811 路 由 送 的 正面 如 图 3-3 所 示 , 从 正面 上 看 ,可 以 看 到 左 侧 有 多 个 指示 灯 , 如 : 
SYS PWR(system power)、AUX/PWR、 SYS ACT 等 ,用 来 指示 系统 电源 ,辅助 电源 、 系 统 
运行 状态 等 。 然 后 索 接 者 一 个 按钮 和 一 个 COMPACT FLASH 卡 (CF 卡 ) 捅 槽 ,这 一 按钮 
方便 将 CF 卡 从 插 槽 中 取出 , 按 一 下 之 后 CF 卡 自动 弹出 。 接 下 来 是 两 个 USB 接口 ,再 往 右 
边 有 两 个 RJ-45 接口 ,上 面 屠 个 是 路 由 兹 的 主 控制 接口 (Console) ,下面 是 一 个 辅助 控制 接 
口 (AUX,Auxiliary) 。Console 口 常 利用 反 转 线 连 接 到 计算 机 的 串 行 接口 上 ,然后 在 计算 机 
超级 终 问 模拟 软件 上 通过 命令 行 的 方式 对 路 由 帮 进 行 配 置 ,而 AUX 口 经 党 需要 接 到 调制 
fit Jil 2$ (Modem) E .77 fi uc fe YE Be, BO EE E BRE HIE. Pi HH s DUI UU] Ze Fa, 8 JT ORCI rna, a 
接口 。 


图 3-3 Cisco 2811 路 由 各 正面 示意 图 


Cisco 2811 路 由 器 裸 机 的 背面 如 图 3-4 所 示 ,Cisco 2811 是 一 款 经 典 的 “模块 化 ?设备 ， 
裸 机 不 市 扩展 卡 , 可 以 根据 需要 进行 选 配 ,并 单独 购买 。 这 些 扩 EE RR WICCWAN 
Interface Card, 广 域 网 接口 卡 ) 或 者 HWIC(High-speed WAN Interface Cards ,高 速 广 域 网 
接口 卡 )。 在 图 3-4 中 ,这 台 路 由 器 默认 配备 了 一 个 固定 配置 模块 ,该 模块 上 有 两 个 快速 以 
太 网 接口 ,右边 接口 的 编号 是 fa0/0, 左 边 接 口 的 编号 是 fa0/1。 因 思科 路 由 器 接口 编号 规则 
是 右边 优先 于 左边 ,下 面 优先 于 上 面 。 剩余 部 分 可 供用 户 按 需 自 行 选 配 , 如 图 3-5 所 示 , 该 
路 巾 融 配 备 了 多 个 WIC 和 HWIC 接口 卡 。 


quw ue 
| — | 


- rt -—— — — — — -- — —  — — €— -—us meum meum "Dum 


图 3-5 Cisco 2811 选 配 了 多 个 拓展 卡 


当然 还 有 一 些 核 心机 房 使 用 的 高 性 能 “大 块头 ”设备 ,是 一 些 大 规模 的 模块 化 设备 ， 
图 3-6 所 示 是 思科 高 性 能 路 由 天 Cisco ASR 9910, 上 部 包含 引擎 卡 和 多 个 拓展 接口 卡 , 下 面 
采用 多 电源 热 备 供电 ,通常 部 署 在 对 性 能 IP 服务 .元 余 性 和 永 续 性 要 求 非 党 高 的 电信 运营 
商 网 络 边 绿 或 大 型 企业 网 。 


3.1.2 路 由 器 接口 


从 思科 路 由 天 的 外 观 可 以 看 到 ,这 些 路 由 天 具有 丰富 的 物理 接口 ,例如 以 太 网 接口 
(Ethernet) ,快速 以 太 网 接口 (Fast Ethernet) ,- TF JE LA P9] 2 H (Gigabit Ethernet) 等 ,此 外 
VH FR HE HI (Serial) ATM 接口 POS 接口 .控制 接口 (Console) ,58 BRE HH CAUXO Se, [E 


39 


WW 


NA 路 由 交换 技术 与 实验 
了 上述 物理 接口 外 ,还 有 一 些 逻 辑 接口 ,例如 回环 接口 (Loopback) .拨号 接口 (Dialer) . 子 接 
O (Sub-Interface) 等 。 

路 由 希 接 口 众 多 ,因此 ,思科 路 由 融 需 要 对 这 些 接 口 进行 有 厅 
编写。 通常 有 如 下 三 种 规则 ， 

CD 对 于 固定 的 接口 或 者 低 奖 固定 配置 路 由 帝 ,路 由 硕 接 口 编 
号 一 般 是 单个 数字 BIS TI BER Serial 0( 可 以 人 简写 为 s0), ARA 
接口 Ethernet 1Ce1) 5g, 

(2) OST "P EC B E PE EH f ir H Ar De O 2 7 — x oe H EHT. 
(/) 隔 开 的 两 个 数字 » Bl A RR 3a Br TE FS [ur P1) Zi 77 «Je ez S A 
的 接口 编号 。 例 如 ,位 于 0 MA D» c E AK Pd Be H 
FastEthernet 0/1(fa0/1), 位 于 1 5480M A 1 号 快速 以 太 网 接口 
——— FastEthernet 1/16(fal/1), 

图 3-6 Cisco ASR 9910 (3) 高 端 模块 化 路 由 需 , 路 由 需 接 口 编号 一 般 是 用 斜 杠 (7) 隔 开 

局 性 能 路 由 硕 ”的 三 个 数字 ,从 左 向 右 第 1 个 数字 是 槽 位 号 ,第 2 个 数字 是 模块 号 ， 

第 3 个 数字 是 该 模块 上 的 具体 接口 号 。 这 样 的 模块 一 般 有 两 种 尺 

寸 , 一 种 是 较 小 的 模块 ,命名 一 般 为 “WIC-XXX”, 而 男 一 种 则 是 较 大 的 模块 ,命名 一 般 为 
"NM-XXX", 

思科 路 由 器 接口 编号 的 命名 优先 原则 是 : 从 零 开 始 , 从 下 到 上 ,从 右 至 左 。 

如 图 3-7 所 示 . Cisco 2811 IR RAE EA HH S8 A PTUS D. 358 HL DU , 右 侧 的 槽 位 编 
号 为 0 模 位 , 左 侧 则 是 1 槽 位 。 其 中 ,0 槽 位 有 一 个 固定 配置 模块 和 四 个 选 配 的 模块 。 固 年 
配置 模块 上 有 两 个 快速 以 太 网 接口 ,从 右 到 左 分 别 命名 为 Fa 0/0、Fa 0/1, 0 fS bz P SB ER X 
固定 配置 后 ,还 有 四 个 模块 位 ,依据 上 述 命 名 规则 ,说 明 如 下 : 

(1) 布下 方 的 模块 编号 为 0, 安 波 了 一 个 WIC-2T 模块 ,该 模块 有 上 下 两 个 串 行 接口 , 依 
据 从 下 到 上 的 优先 级 ,分 别 全 名 为 Serial 0/0/0、Serial 0/0/1, 即 第 0 槽 位 的 第 0 模块 上 的 第 
0.1 两 个 串 行 接口 。 

(2) 左下 方 的 模块 编号 为 1 ,安装 了 一 个 HWIC-4ESW 模块 ,该 模块 上 有 四 个 快速 以 太 
网 接口 ,依据 从 右 到 左 的 优先 级 ,分 别 命 名 为 Fa 0/1/0、Fa 0/1/1、Fa 0/1/2、Fa 0/1/3, 即 第 
0 槽 位 的 第 1 模块 上 的 第 0.1.2.3 四 个 快速 以 太 网 接口 。 

(3) 右上 方 的 模块 编号 为 2, 安装 了 一 个 WIC-2T 模块 ,该 模块 上 有 上 下 两 个 串 行 接口 ， 
从 下 到 上 分 别 命 名 为 Serial 0/2/0,Serial 0/2/1, 即 第 0 楼 位 的 第 2 模块 上 的 第 0,1 两 个 串 
行 接 口 。 

(D 左上 方 的 模块 编号 为 3, 安装 了 一 个 WIC-1ENET 模块 ,该 模块 上 有 一 个 以 太 网 接 
口 ,可 直接 命名 为 Ethernet 0/3/0. B8 0 f& pz B9 58 3 模块 上 的 第 0 个 以 太 网 接口 。 


图 3-7 Cisco 2811 路 由 器 选 配 了 多 个 拓展 卡 
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第 1 槽 位 比较 简单 ,安装 了 一 个 比较 大 的 NM-2FE2W 模块 ,这 一 模块 上 有 一 个 同 定 配 
置 模块 和 两 个 选 配 的 模块 。 固 和 定 配 置 模块 上 有 两 个 快速 以 太 网 接口 ,依据 从 右 到 左 的 优先 
级 ,右边 的 是 Fa 170 ,左边 的 是 Fa 1/1, 即 第 1 槽 位 上 的 第 0,1 两 个 快速 以 太 网 接口 。 固 征 
配置 模块 上 方 的 两 个 选 配 模块 编号 命名 如 下 : 

CD 右边 的 模块 编号 为 0, 安装 了 一 个 WIC-2T 模块 ,该 模块 上 有 上 下 两 个 串 行 接口 ,从 
下 到 上 分 别 命 名 为 Serial 1/0/0, Serial 1/0/1, 即 第 1 ME 0 模块 上 的 第 0,1 两 个 串 行 
接口 。 

(2) 左边 的 模块 编号 为 1 ,安装 了 一 个 HWIC-4ESW 模块 ,该 模块 上 有 四 个 快速 以 太 网 
接口 ,从 右 到 左 分 别 命名 为 Fa 1/1/0、Fa 1/1/1.Fa 1/1/2、Fa 1/1/3, 即 第 0 槽 位 第 1 模块 上 
的 第 0、1、2、3 四 个 快速 以 太 网 接口 。 


3.1.3 EB zm Tr 


这 些 固定 配置 或 模块 化 的 路 由 器 、 交 换 机 ,其 实 都 是 特殊 的 计算 机 ,这 些 设备 与 个 人 计 
算 机 对 比 有 类 似 的 部 分 ,也 有 特殊 的 部 分 。 这 部 分 硬件 相当 于 路 由 需 或 者 交换 机 的 “内 脏 ”: 

(1) CPU。 即 中 央 处 理 器 ,相当 于 “脑袋 ,和 计算 机 一 样 , 它 是 路 由 器 的 控制 和 计算 
部 件 。 

(2) ROM。 只 读 存 储 器 ,是 固化 在 硬件 上 的 一 个 模块 ,类 似 计 算 机 的 BIOS. Tff Y 5i 
由 器 的 开机 诊断 程序 .引导 程序 和 特殊 版 本 的 IOS 软件 (用 于 诊断 用 途 ) 24 ROM 中 软件 升 
级 时 需要 更 换 芯 片 。 

(3) RAM/DRAM。 随 机 存储 器 ,用 于 存放 临时 运行 的 文件 和 结果 ,例如 ,路 由 表 、ARP 
表 ,快速 交换 缓存 ,缓冲 数据 包 、 数 据 队列 ,以 及 当前 配置 信息 。 众 所 周知 ,RAM 中 存储 的 
数据 在 路 由 器 或 交换 机 断 电 后 是 会 丢失 的 。 

(4) Flash。 可 擦 除 、 可 编程 的 ROM ,类 似 个 人 计算 机 的 硬盘 ,用 于 长 期 存放 文件 ,主要 
存放 路 巾 需 的 IOS, Flash 的 可 擦 除 特 性 允许 更 新 、 升 级 IOS, 而 不 用 更 换 路 由 需 内 部 的 攻 
片 。 当 路 由 器 断 电 后 ,Flash 的 内 容 不 会 丢失 , 当 Flash 容量 较 大 时 ,可 以 存放 多 个 不 同 的 
IOS 版 本 。 

(5) NVRAM。 非 易 失 性 RAM, 也 是 固化 在 主板 上 的 模块 ,但 断 电 后 ,NVRAM 里 的 内 
容 不 会 丢失 ,主要 用 于 存放 网 络 管理 员 保 存 好 的 配置 文件 , 当 设 备 重 新 启动 后 需要 加 载 的 局 
动 配置 文件 。 


3.1.4 路 由 器 的 功能 


路 由 带 是 第 三 层 网 络 设备 ,具备 丰 军 的 网 络 功能 ,主要 如 下 : 

(1) 广域网 连接 。 使 用 路 由 天 可 以 实现 局 域 网 和 运营 商 网 络 之 间 的 连接 ,也 可 以 多 人 台 
路 由 融 之 间 联 网 ,再 接 人 互联 网 ,从 而 实现 广域网 连接 。 

(2) 网 络 分 段 和 广播 隔离 。 如 果 一 个 网 络 中 包含 的 主机 数量 很 多 ,容易 产生 广播 风 戏 ， 
不 方便 配置 和 管理 ,严重 影响 网 络 整体 性 能 。 这 个 时 候 可 以 根据 业务 需要 对 主机 进行 分 组 ， 
构建 多 个 广播 域 ,然后 利用 路 由 器 能 够 分 割 广 播 域 的 功能 ,采用 路 由 器 来 连接 各 个 分 组 。 表 
通过 路 由 带 实 现 不 同 分 组 主机 则 的 数据 转发 ,并 隔离 各 分 组 的 广播 ,也 方便 实现 各 分 组 流量 
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控制 ,从 而 对 原 有 网 络 进行 分 段 和 有 效 管 理 。 

(3) 学 习 路 由 。 这 是 路 由 带 的 核心 功能 。 首 先是 构建 路 由 表 , 当 路 由 带 接 口 配 置 完成 
并 激活 后 , 即 可 学 习 到 直 连 的 路 由 信息 ,构建 初始 路 由 表 , 此 时 路 由 表 只 包含 直 连 路 由 信息 。 
管理 员 可 以 手工 指定 路 由 ,如 配置 静态 路 由 协议 ; 也 可 以 由 路 由 融 目 己 动 态 学 习 新 路 由 ,如 
配置 动态 路 由 协议 ,主要 有 内 部 网 关 路 由 协议 (如 RIP, IS-IS,EIGRP, OSPF 等 ) 和 外 部 网 天 
路 由 协议 (如 BGP 等 ) 。 

(4) 路 由 选择 与 数据 转发 。 路 由 融和 学 习 到 路 由 之 后 ,生成 完整 的 路 由 条, 并 依据 所 配置 
的 路 由 协议 进行 更 新 。 然 后 就 可 以 进行 路 由 选择 与 数据 转发 了 ,具体 步骤 为 路 由 需 接 口 接 
收 到 数据 包 之 后 ,会 读 取 数据 包 中 IP di 3c Him B dcs IP 地址 和 目的 IP 地 址 ( 拆 包 ); 根据 
目的 IP 地 址 ,与 对 应 子 网 掩 但 进行 异 或 运算 得 到 目的 网 络 地 址 ,然后 查找 路 由 和 ,找到 路 由 
表 中 匹配 的 路 由 条 目 ( 查 表 ); 从 该 路 由 条 目 中 找到 本 地 出 接口 和 下 一 跳 IP 地 址 ,利用 地 址 
HE PT HX CARPOT P — k IP 地 址 解析 成 对 应 接口 的 MAC 地 址 ,将 该 MAC H b 8 9r 3 E 
I EPRE Fe Ac B5) 28 D ot B ot SI SB CIT E20 5. 最 后 ,将 重新 打包 好 的 数据 从 匹配 的 路 由 表 条 目 中 
指定 的 本 地 出 接口 转发 出 去 (转发 )。 当 在 路 由 表 中 找 不 到 匹配 的 路 由 条 目 时 ,检查 是 否 有 
配置 默认 路 由 ,有 则 走 默认 路 由 转发 该 数据 包 , 人 否则 就 丢弃 该 数据 包 。 


3.1.5 认识 交换 机 


了 解 路 由 融 之 后 , 接 下 来 和 测 单 介绍 思科 交换 机 的 外 观 , 这 里 以 思科 Catalyst 3560 系列 
为 例 , 如 图 3-8 所 示 。 这 些 交 换 机 高 度 通 常 为 1U。 左 侧 通常 有 几 个 指示 灯 , 主 面板 是 多 个 
RJ-45 接口 类 型 的 快速 以 太 网 端口 ,数量 通常 有 12 个 .24 个 或 48 个 ,右边 男 有 2 个 或 4 个 
干粮 口 模块 ,可 以 选 配 干粮 电 口 (连接 RJ-45 跳 线 ) 或 者 干 兆 光 口 (连接 光纤 跳 线 )。 主 控制 
Console 口 在 交换 机 背面 ,电源 接口 也 在 背面 ,通常 没有 电源 开关 ，。 


图 3-8 思科 Catalyst 3560 系列 交换 机 


路 由 器 的 接口 一 般 称 为 接口 ,交换 机 的 接口 一 般 称 为 端口 。 普 通 1U 的 交换 机 默认 模 
块 号 为 0, 且 一 般 都 从 第 1 个 端口 开始 计数 ,如 Fa 0/1, 然 后 是 Fa 0/2, 直 到 Fa 0/24, 

交换 机 也 有 高 性 能 的 “大 块头 ”, 同 样 也 是 模块 化 设备 ,如 图 3-9 展示 的 是 思科 Nexus 
9500 下 一 代目 动 化 数据 中 心 交 换 机 ,包含 4 模 、8 模 、16 FE — xXx M xr fi HI Cloud Scale 
1/10/25/40/100G EX/FX 系列 线 卡 ,这 些 交 换 机 为 高 度 可 编程 的 行业 领先 软件 定义 网 络 。 

本 书 虽 以 思科 路 由 需 和 交换 机 以 及 思科 互联 网 操作 系统 为 基础 介绍 路 由 与 交换 技术 及 
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相关 配置 方法 ,但 是 ,技术 无 国界 ,我 国 的 华为 .中 兴 和 星 网 锐 捷 等 也 有 非常 先进 的 路 由 兹 、 
交换 机 和 其 他 网 络 设备 。 因 知识 产权 保护 问题 ,与 思科 不 同 的 是 ,不 同 的 品牌 其 操作 系统 不 
同 、 配 置 方法 也 不 同 ,但 都 文 持 各 种 开放 的 技术 ,如 RIP, OSPF 等 。 思 科 私 有 的 协议 (如 
EIGRP) 对 其 他 品牌 设备 不 文 持 。 因 此 ,通过 本 书 的 学习 ,和 车 握 了 各 种 协议 的 原理 配置、 排 
错 与 验证 方法 ,对 于 不 同 广 商 的 设备 ,可 以 根据 设备 附带 的 用 户 配 置 手 册 查 看 其 设备 配置 方 
法 ,很 容易 就 能 上 手 对 其 他 品牌 的 设备 进行 配置 和 管理 。 


图 3-9 思科 Nexus 9500 交换机 


3.2 思科 互联 网 络 操作 系统 IOS 


思科 路 由 疾 和 交换 机 都 米 用 思科 互联 网 络 操 作 系 统 (Internetwork Operating System. 
IOS) ,交换 机 的 配置 方法 和 路 由 帮 非 党 类似 ,本 草 以 路 由 带 为 例 介 绍 如 何 使 用 OS. 


3.2.1 思科 10S 的 功能 


思科 IOS 是 思科 路 由 着 和 绝 大 部 分 Catalyst 交换 机 的 操作 系统 , 它 仙 贡 路 由 选择 、 交 
换 、 网 络 互 联 、 远 程 通信 ,安全 和 运 维 等 功能 。IOS 有 如 下 重要 的 功能 : 

COD 运行 各 种 网 络 协议 ,并 提供 相应 功能 。 

(2) m XE f Si CS 。 

(3) 控制 访问 ,提高 安全 性 。 

(4) 文 持 扩展 ,方便 网 络 扩容 。 

(5) 提供 资源 访问 的 可 菲 性 。 

扩展 阅读 : 关于 思科 IOS 与 苹果 iOS 的 小 故事 。 

IOS 是 思科 路 由 器 和 大 部 分 交换 机 的 操作 系统 ,说 到 IOS 你 可 能 想到 了 美国 苹果 
(Apple) 公 司 的 10S, 两 者 之 间 的 确 有 关系 。 

2007 年 1 月 ,iPhone 这 个 名 称 首次 作为 苹果 公司 设计 生产 mE 称 亮 相 , 但 其 实 
iPhone 此 前 已 是 思科 网 络 电 话 的 注册 商标 ,思科 随后 提起 了 侵权 诉讼 。 不 久 , 思 科 和 苹果 
宣布 达成 和 解 , 双 方 同意 各 自 继 续 使 用 iPhone 作为 产品 名 称 。 

2010 年 6 月 , 羊 果 公司 将 iPhone OS 改名 为 10S, 思 科 和 苹果 再 次 就 商标 授权 问题 达成 
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了 协议 。 思 科 同 意 将 1iOS 商标 授权 给 苹果 使 用 ,代表 其 在 iPhone,iPod Touch 和 iPad 等 移 
动 设备 所 使 用 的 操作 系统 。 该 授权 仅 涉及 商标 ,不 涵盖 任何 相关 技术 。 

革 果 公司 的 10S 提供 了 优美 的 用 户 界面 ,拥有 良好 的 用 户 体 验 。 但 遗憾 的 是 ,思科 的 
IOS 则 只 提供 了 命令 行 形 式 (Command Line Interface,CLI) 界 面 供 用 户 操作 思科 网 络 设 
备 , 它 有 点 像 是 Windows 操作 系统 上 的 cmd. exe 程序 。 尽 管 没有 华丽 的 外 表 , 但 IOS 功能 
十 分 强大 ,默默 地 为 网 络 活 动 提 供 服务 。 


3.2.2 连接 思科 路 由 器 
部 署 在 实际 网 络 中 的 思科 路 由 器 在 开机 启动 后 ,保持 着 出 厂 的 默认 配置 ,此 时 并 不 能 实 


现任 何 网 络 功能 ,需要 网 络 管理 员 连 接 路 由 背 并 对 其 进行 适当 的 配置 。 连 接 思 科 路 由 锅 的 


CD 通过 反 转 线 连 接 PC 上 的 串 行 接口 与 路 由 兹 的 主 Console 接口 ,然后 通过 PC 2X 9m 
模拟 软件 (超级 终端 ) 采 用 命令 行 的 方式 配置 路 由 硕 , 这 是 本 书 配 置 路 由 融和 交换 机 的 主要 
MX 

C20 利用 网 管 工 作 站 (NMS) 通 过 网 络 远程 配置 路 由 器 。 

(3) 采用 调制 解 调 硕 远程 拨号 连接 路 由 融 的 AUX 口 配 置 路 由 天 。 

(4) 通过 配置 Telnet 的 方式 远程 登录 路 由 送 进 行 配置 。 

连接 思科 路 由 上 需 最 常见 的 方法 是 计算 机 通过 Console 4 Cz FR 2k ) Y Bz $8] jit HH Ae H 
Console H ,如 图 3-10 所 示 , 这 种 Console 2 iÑ 7$ — mæ RJ-45 接口 ,连接 到 路 由 兹 的 
Console A . WMA — mI] RS-232 九 针 接口 (DB-9) ,连接 到 计算 机 的 串 行 口上 。 

近年 来 ,新 的 笔记 本 电脑 都 追求 超 溥 和 超 轻 , 基 本 上 都 去 择 了 串 行 接口 ,所 以 需要 添置 
一 条 USB 转 RJ-232 九 针 接口 (DB-9) 的 转换 线 , 如 图 3-11 所 示 ,配合 上 面 的 Console £X fii 
用 ,或 者 直接 购买 USB fk RJ-45 的 专用 配置 线 , 以 实现 笔记 本 电脑 直接 连接 并 配置 路 申 需 
或 交换 机 。 


图 3-10 Console £X 图 3-11 USB 转 DB-9 转换 线 


3.2.3 设备 启动 过 程 


思科 路 由 交换 设备 的 局 动 过 程 大 致 有 以 下 几 个 步骤 ,如 图 3-12 所 示 。 

(1) 设备 目 检 。 路 由 天 执行 POST( 开 机 目 检 ) 程 序 。POST 存储 在 ROM 中 并 从 ROM 
中 运行 ,在 日 检 过 程 中 ,路 由 兹 检查 所 有 的 便 件 模块 和 所 有 接口 是 否 工作 正常 。 

(2) 加 载 bootstrap( 引 导 程 序 )。bootstrap 程序 存储 在 ROM 中 ,负责 查找 每 个 IOS 程 
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System Bootstrap, a 12.&(19r)T11, RELEASE SURE (fcl) 
Technical Support: http://www.cisco. com/techsuppor 
Copyright (c) 2009 by cisco Systems, Inc. 


Initializing memory for ECC 


c2811 platform with 262144 Kbytes of main 
Main memory is configured to 64 bit mode ES "Etc enabled 


Upgrade ROMMON initialized l , 
program load complete, entry point: 0x8000f000, size: Üxcb80 
program load complete, entry point: Ox8000f000, size: Üxcb88 


0 
g the image : HHHHHHHHHHHHHHHHHHHHHHHHHHHHTHHHHHHHHHHTHHHHHHHHE 
WHILE 
HHHHHHHHHHTHE HHHHHHHHH WHHHHHHHHHHHHH 
HARI HH HR RH 


progra 49 Con HG OMS Ds entry point: 0x8000f000, size: 0x32ad6b 


Smart Init is enabled 
smart init is sizing iomem 
ID MEMORV REQ TVPE 


图 3-12 Cisco 2811 Pf H1 28/5 2 2: EE 


序 的 位 置 ZA Je. 2E 2. IOS 映像 文件 。 

(3) 定位 并 加 载 IOS 的 映像 文件 。 上 默认 情况 下 ,所 有 思科 路 由 兹 都 从 Flash 中 加 载 
IOS 映像 文件 。 如 果 在 Flash 中 没有 找到 IOS 映像 文件 ,路 由 器 将 会 直接 进入 BOOT 模 
式 ,在 BOOT 模式 下 可 以 使 用 TFTP 上 传 IOS 文件 。 

(4) 定位 并 加 载 配置 文件 。 当 加 载 IOS 软件 成 功 后 ,系统 会 首先 从 NVRAM 中 查找 有 
效 的 配置 文件 startup-config, 当 系统 找到 该 文件 后 ,日 动 加 载 该 文件 里 的 所 有 配置 信息 ,并 
将 所 有 的 配置 信息 复制 到 RAM 中 并 调用 running-config, 进 入 用 户 模 式 , 最 终 完 成 司 动 过 程 。 

如 果 在 NVRAM 里 没有 startup-config 文件 , 则 路 由 硕 会 直接 进入 setup mode( 设 置 模 
式 ) ,使 用 no 命令 退出 该 模式 进入 命令 行 CLICCommand Line Interface) Bx XX , AX Ji IR HE s 
要 对 路 巾 硕 进行 配置 。 

居 动 过 程 中 有 许多 # 号 ,此 时 IOS 系统 在 Flash 中 解压 并 加 载 到 RAM 中 ,同时 也 有 一 
些 配置 文件 从 NVRAM 中 加 载 。 局 动 过 程 有 一 些 重 要 信息 ,如 平台 型 号 (图 3-12 中 平台 为 
c2811) IOS 版 本 (图 3-12 PX Version 12.4) 等 。 然 后 ,设备 局 动 后 会 询问 用 户 是 否 AS 
统 配置 对 话 框 ,一般 情 况 下 ,可 以 输入 no BExEUE EE. ARARA. DIRIGE AI yes 进 
入 初始 配置 对 话 框 但 又 想 中 途 退 出 ,可 按 Ctrl 十 C 组 合 键 退出 。 


Would you like to enter the initial configuration dialog? [yes/no]: no 


3. 3 ZZ 3m Tx TU. SX PF BO E 77 7 


"B — X BO EL EA HH Ar 4^ 28 xd Console 2k Cc Fe £X . SY dl FE 2 fT ix d.e Boy UL Jy 
XX. TESCUS E OBAT TETP SD E x8 2A 9m R M EE IRIE RER BL RS FR. ET 53 P HH 8 8) T2 l 
H (Console) j£ ža . f nf LATE TE BL. Efi FH 2A vu T AU AX EE YE E E E HH 28 
进行 配置 操作 。Windows 系统 下 ,终端 模拟 软件 有 很 多 ,例如 超级 终端 、 
PuTTY 、XShell SecureCRT 等 。 下 面 以 超级 终端 为 例 , 通 过 下 列 步骤 演 
示 如 何 使 用 终端 模拟 软件 。 hypertrn. exe 

CD 打开 超级 终端 ,如 图 3-13 ITIR, Xlii hypertrm. exe. 图 3-13 ”超级 终端 
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(2) 设 为 默认 Telnet 软件 。 根 据 自 己 的 意愿 选择 是 否 设 置 为 默认 Telnet 软件 , 如 
图 3-14 所 示 , 这 里 单 击 “是 ?按钮 。 
RU Telnet 程序 ? E ?| xJ 
A RINGS HyperTerminal 作为 默认 telnet 程序 。 要 这 


[ 博 不 要 再 问 这 个 同 题 U) 


Cw sm | 


图 3-14 ”超级 终端 询问 设置 默认 Telnet JF 
(3) 位 置信 息 。 需 要 输入 区 号 ,如 图 3-15 和 图 3-16 所 示 , 可 以 设置 北京 的 区 号 为 010， 
或 者 福州 区 号 0591 都 可 以 ,这 个 没有 强制 要 求 。 


位 置信 息 | 3j xl 


| SE EIU RE ARE EPI aati BU» Windows m 
要 知道 关于 您 当前 位 置 的 信息 。 


目前 所 在 的 国家 HEK) w): 

| 中 华人 人 民 共 和 国 El 
您 的 区 号 域 城市 号 ) 是 什么 (D? 

| |o10 


VHROHRIERUCANUE TO 3 0)? 
i 
本 地 电话 系统 合用: 
C 音频 所 号 (I) CBS 


图 3-15 ”超级 终 问 询问 位 置信 息 


电话 和 调制 解 调 回 选项 | x 
拨号 规则 | 


? 下 到 显示 了 您 指定 的 位 置 。 选 择 您 拔 号 的 位 置 。 
位 置 人 L): 


8e QD... | ám an... | AHER QJ | 


取消 | mmo | 
图 3-16 $E SR 2 im 16] [a] HE, ie Rd ri] RE e] ie 3o 30 


(D 创建 新 的 连接 ,如 图 3-17 所 示 , 这 里 名 称 以 Cisco 为 例 , 如 果 有 图 标 , 可 以 任 选 一 个 
图 标 。 


NE 
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(5) 选择 连接 时 用 的 串口 ,如 图 3-18 所 示 ,通常 是 COM1。 在 Windows 操作 系统 下 ,可 
以 到 “设备 管理 需 ? 中 的 "端口 ?栏目 确认 。 


3-17 超级 终端 询问 连接 描述 3-18. ”超级 终端 询问 连接 串口 


(6) COMI 的 属性 配置 ,如 图 3-19 所 示 , 可 以 单 击 “ 还 原 为 默认 值 ” 按 钮 。 国 内 外 图 书 、 
文档 ,论坛 等 常 称 其 为 串口 通信 协议 96008N1, 请 记 住 这 些 信息 ,方便 以 后 配置 。 即 : 

。 每 秒 位 数 (Baud rate): 9600 

。 数据 位 (Data bit): 8 

。 奇偶 校 验 (Parity) : 无 (None) 

。 停止 位 (Stop bit): 1 

。 数据 流 控 制 (Data flow control): 无 (None) 


comi Æt 


3-19 ”配置 COMI1 属性 


in 
Ino 1 


VA EH 32 158 33 7 S SC Uy 


V 
3.4 IOS 命令 行 操作 方法 


配置 完 终端 模拟 软件 后 ,进入 路 由 器 的 IOS 命令 行 界面 。 如 果 消 息 没 有 及 时 显示 ,可 
FÈ Enter 键 或 等 待 , 如 网 3-20 所 示 。 


a cold start 

“Hug 8 08:52:02.639: ACRVPTO-6-ISRKMP ON OFF: ISAKMP is OFF 

“fug 8 08:52:02.639: XCRVPTO-6-GDOI ON OFF: GDOI i s OFF 

Aug 8 08:52:02.639: XCRVPTO-6-ISBKMP ON OFF: ISAKMP is OFF 

Aug 8 08:52:02.639: 4CRVPTO-6-GDOI ON OFF: GDOI is OFF 

=Aug 8 08:52:03.795: XLINK-5-CHRNGED: Interface FastFEthernet0/0, changed state 
to administratively down 

*Hug 8 08:52:03.795: LINK- 9-CHRNGED: Interface FastEthernet8/1, changed state 
to administratively dow | 
*Hug 8 89:52:02. 7/95: "1 INK-5-CHRNGED: Interface SerialU/2/80, changed state to a 
dministratively down 
*Ĥug 8 08:52:03.795: ALINK-5-CHRNGED: Interface Serial8/2/1, changed state to a 
dministratively down 
xHlug 8 08:52:04.795: ALINEPROTO-5-UPDOWN: Line protocol on Interface FastEthern 
et0/0, changed state to down | 
Aug 8 08:52:04.795: XLINEPROTO-5-UPDOUN: Line protocol on Interface Ser1al0/2/ 


. changed state to down 


图 3-20 ”通过 Console O HEA fé EH Arm 9 11 2 IRI 
此 时 为 IOS 的 用 户 执 行 模式 ,IOS 有 多 种 配置 模式 ,下 面 详 细 介 绍 。 


3.4.1 lOS 配置 模式 与 方法 


URL EE HH 88 HJ IOS 配置 模式 主要 有 以 下 几 种 : 
(1) 用 户 执行 模式 (User Exec Mode), 

(2) 特权 执行 模式 (Privileged Exec Mode), 

(3) 全 局 配置 模式 (Global Configuration Mode), 
(4) 监控 模式 (ROM Monitor Mode), 

(5) XB (Setup Mode), 

(6) Boot 模式 (RXBoot Mode). 

下 面 分 别 何 要 介绍 这 几 种 模式 ，。 


1. 用 户 执 行 模式 (User Eexc Mode) 


通过 Console 线 连接 到 路 由 冀 , 在 终端 模拟 软件 登录 到 路 由 帮 上 ,此 时 默认 模式 为 用 户 
执行 模式 。 此 模式 下 ,用户 可 以 看 路 由 天 的 连接 状态 ,访问 其 他 网 络 和 主机 ,但 不 能 看 到 和 
更 改 路 由 辫 的 设置 内 容 。 这 一 模式 下 的 提示 符 为 二 


Router > 
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2. 特权 执行 模式 (Privileged Exec Mode) 


PHP E Xii A enable( 或 者 简写 en) 进 入 特权 模式 。 特 权 模 式 下 输入 disable( 或 者 
dis) 人 返回 用 户 执 行 模 式 ( 也 可 以 使 用 exit)。 在 特权 模式 下 ,可 以 执行 所 有 的 用 户 命令 ,还 可 
以 看 到 和 更 改 路 由 天 的 设置 内 容 。 这 一 梗 式 下 的 提示 符 为 上 # ,输入 config terminal 可 以 进 
入 全 局 配置 模式 。 


Router > enable 
Router # 

Router # disable 
Router > 


3. 全 局 配置 模式 (Global Configuration Mode) 及 其 子 模式 (Sub Mode) 


特权 模式 输入 config terminal 或 者 conft 进 入 全 局 配置 模式 。 全 局 模式 下 输入 exit 可 
返回 特权 模式 。 全 局 配置 模式 下 ,可 以 设置 路 由 颖 的 全 局 参数 ,可 以 配置 绝 大 部 分 的 协议 。 
这 一 模式 下 的 提示 和 从 为 (config)##。 


Router # configure terminal 
Router(config) # 
Router(config) # exit 
Router # 


在 全 局 配置 模式 下 ,还 有 许多 的 子 模 式 , 这 里 介绍 常用 的 几 种 。 

COD 接口 子 模式 (interface mode) ,对 接口 进行 配置 ,可 以 对 某 个 具体 的 接口 进行 配置 ， 
这 个 接口 可 以 是 物理 接口 (如 Serial 接口 ,fastEthernet 接口 ), 也 可 以 是 逻辑 接口 (如 
Loopback 接口 )。 全 局 配置 模式 下 ,输入 类 似 interface fastEthernet 0/0 的 命令 进入 接口 模式 。 


Router(config) 井 interface fastEthernet 0/0 
Router(config-if) # 


(2) 2k E PRX Cline mode), 设 置 各 种 线路 ,包括 console 2 Pi, VT Y 线路 等 ,进入 
VTY 线路 模式 后 ,可 以 设置 VTY SERM, 


Router(config) # line vty 0 4 
Router(config-line) # 


(3) 路 由 子 模式 (router mode) ,配置 各 种 路 由 协议 ,下 面 以 RIP 协议 为 例 。 


Router(config) # router rip 


Router(config-router) # 


3.4.2 人 简化 命令 与 帮助 


Cisco IOS 具有 强大 的 功能 ,能 够 根据 较 少 的 字母 做 出 相应 的 命令 提示 帮助 ,支持 各 种 
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命令 的 缩写 .命令 补 全 ,以 及 输入 错误 命令 的 错误 提示 等 。 
1. 命令 提示 功能 


在 输入 命令 过 程 中 ,如 果 忘 记 了 接 下 来 有 什么 选项 ,可 通过 ee 例如 ， 
当 输入 show ip interface ? 后 ,IOS 提示 了 如 下 一 些 信 息 。 有 时 提示 信息 过 多 ,会 显示 为 
< more>, 此 时 按 Enter 键 会 一 行 一 行 显示 ,或 者 按 Space 键 则 一 屏 一 屏 加 载 剩 余部 分 。 


Router # show ip interface ? 


Async Async interface 

BVI Bridge-Group Virtual Interface 
CDMA 一 Ix CDMA Ix interface 

CTunnel CTunnel interface 

Dialer Dialer interface 

FastEthernet FastEthernet IEEE 802.3 

Lex Lex interface 

Loopback Loopback interface 

MFR Multilink Frame Relay bundle interface 
Multilink Multilink-group interface 
Null Null interface 

Port- channel Ethernet Channel of interfaces 
Serial Serial 

Tunnel Tunnel interface 

Vif PGM Multicast Host interface 
Virtual-DotllRadio Virtual dot11 interface 
Virtual - PPP Virtual PPP interface 


Virtual- Template Virtual Template interface 
Virtual- TokenRing Virtual TokenRing 


XTagATM Extended Tag ATM interface 
brief Brief summary of IP status and configuration 
vmi Virtual Multipoint Interface 


| Output modifiers 
* CI. 


有 时 命令 输入 一 半 ,忘记 了 剩余 部 分 ,同样 可 以 借助 问号 获取 提示 。 例 如 , 当 输 入 show 
ip interface b? 后 ,输出 结果 提示 为 BVI 和 brief, 也 就 意味 着 以 b 开头 的 可 选项 有 这 两 个 ， 
根据 需要 选择 一 个 即 可 。 


Router # show ip interface b? 
BVI brief 
Router # show cdp nei? 


neighbors 


2. 简化 命令 功能 


IOS 文 持 命 令 简 化 , 当 输 入 的 命令 不 冲突 时 ,使 用 简写 也 能 识别 。 例 如 show ip 
interface brief n[ LA fi] 5 7J sh ip int b.configure terminal 可 以 人 简写 为 conf t. AA WEN 
con t 可 以 吗 ? 结果 如 下 : 
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Router # con t 


% Ambiguous command: "con t" 


Ambiguous command B[* ^f HH fff fr) d 4 ^" Bip VA np HS dn m ^» BI fir o A I X.» Af Be IB: M 
表达 configure terminal HEE. 79 T ou Sez X. EH conf t B nf, IOS 支持 命令 简化 ,但 简 
化 后 不 得 有 上 收 义 。 


3. 命令 补 全 功能 


虽然 可 以 简化 命令 ,但 有 的 用 户 习 惯 输入 完整 命令 ,在 没有 歧义 的 情况 下 ,命令 可 以 用 
Tab 键 补 人 全。 例如 输 完 show ip int 后 按 Tab 键 ,可 以 补 全 interface 一 词 , 然 后 输入 bri 再 
fa Tab 键 , 可 以 补 全 brief 一 词 。 


Router # show ip int 
Router # show ip interface 


Router # show ip interface bri 


4. TR ER DET 


错误 提示 主要 体现 在 如 下 几 个 方面 。 

1) Ambiguous command 

不 明确 的 命令 T Bee M H3 c. REAL ER CAR AC TE SS — 1 HR A ERR Be 
入 一 个 问号 (?) ,确认 是 否 有 同样 “前 级 ”的 命令 。 


Router # con t 

% Ambiguous command: "con t" 
Router # con? 

configure connect 
Router # conf t 
Router(config) # 


例如 , 当 输 入 con t 时 出 现 提 示 这 是 不 明确 的 命令 ,因此 在 con 后 紧 跟着 输入 一 个 问号 
CD ,查看 命令 提示 ,可 以 发 现 以 con 开头 的 命令 除了 configure 外 还 有 一 个 connect, 因 此 ， 
为 了 使 用 configure terminal 可 以 选择 输入 conf t。 

2) Incomplete command 

不 完整 的 命令 ,可 能 是 缺少 必要 参数 或 者 用 错 命令 。 此 时 建议 在 该 不 完整 的 命令 后 加 
一 个 问号 ,查看 命令 提示 ,方便 排查 错误 。 例 如 : 


Router(config) # hostname 
% Incomplete command 
Router(config) # hostname ? 
WORD This system's network name 
Router(config) # hostname R1 
Ri(config) # 
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当 输 入 hostname 命令 后 确认 ,会 提示 这 是 不 完整 的 命令 。 借 助 问 号 进行 命令 提 款 
以 看 到 hostname 命令 后 面 应 接着 一 个 WORD ,然后 在 后 面 加 个 参数 即 可 。 


T 


3) % Invalid input detected at marker 


无 效 命令 ,可 能 是 输 错 命令 ,IOS 用 ^ 符 号 定位 可 能 出 错 的 位 置 。 例 如 


Router (config) # hotsname R1 


H^ 


% Invalid input detected at '"' marker. 


Router(config) # hostname R1 
Rl(config) # 


45 VJ hostname MAAM. HMA ix JJ hotsname 的 时 候 , 字 母 t 下 方 会 有 ^ 提 示 ,表明 
此 处 可 能 存在 错误 。 
3.5 lOS 基础 命令 


3.5.1 三 条 重要 命令 


为 了 保证 实验 过 程 更 顺利 , 少 出 错误 或 者 更 节约 时 间 , 建 议 在 每 次 实验 开始 前 , 先 输入 
如 下 三 条 非常 重要 的 命令 


Router > enable 


Router # config terminal 


Router(config) # no ip domain lookup //J&H] DNS 查找 功能 
Router(config) # line console 0 // 进 入 主 控制 线路 模式 
Router(config-line) # logging synchronous /7 关闭 日 志 消 息 , 局 用 光标 跟随 
Router (config-line) # exec-timeout 0 0 // 关 团 屏 保 , 水 不 超时 


这 三 条 重要 的 命令 及 其 作用 解释 如 下 : 

(D no ip domain lookup。 关 闭 DNS 查找 ,防止 DNS ftr, Sc us 3d fe P BS AS zz DNE HV 
或 其 他 原因 将 命令 输入 错误 ,默认 情况 下 ,Cisco IOS 会 把 它 当 成 一 个 地 址 来 查找 ,该 查找 过 
程 将 消耗 一 定 的 时 间 ,造成 了 不 必要 的 延 时 。 这 条 命令 关闭 了 DNS 查找 ,阻止 了 查找 过 程 。 

(2) logging synchronous。 操 作 时 ,输入 的 命令 常常 被 路 由 需 日 志 消 息 打 断 , 会 导致 看 
不 清 命令 ,需要 重新 输入 。 为 了 避免 这 种 情况 发 生 。 可 以 进入 主 控制 线路 配置 模式 ,输入 上 
述 命 令 ,启用 光标 跟随 ,实现 同步 信息 显示 ,避免 被 日 志 消 息 打 断 。 

(3) exec-timeout 0 0。 操 作 设 备 时 ,可 能 因为 各 种 原因 需要 中 断 操作 ,如 采 两 次 操作 间 
隔 时 间 较 长 , 则 需要 重新 登录 。 如 果 是 通过 Console 口 登 录 , 则 可 能 需要 重新 输入 密码 。 其 
中 ,这 个 间隔 时 间 称 为 “超时 时 间 ”。execrtimeout 这 条 命令 将 设置 Console 口 的 操作 超时 
IT [B] ,exec-timeout 后 接 两 个 数字 ,第 一 个 数值 是 分 ,第 二 个 数值 是 秒 。 例 如 exec-timeout 9 
16 将 设备 超时 时 间 设 置 为 9 分 16 秒 。 当 这 两 个 数值 均 为 0 时 , 则 设置 为 永 不 超时 。 

在 3.1.2 节 介绍 过 ,在 不 与 其 他 命令 发 生 冲 突 的 情况 下 ,可 以 简写 命令 ,如 上 述 三 条 重 
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要 的 命令 可 以 分 别 便 写 如 下 所 示 : 


Router > en 

Router # conf t 

Router(config) # no ip do lo 
Router(config) # li con 0 
Router(config-line) # logg syn 
Router(config-line) # exec-t 00 


3.5.2 设备 重 命 名 


思科 路 由 器 默认 设备 名 称 为 Router, 思 科 交 换 机 默认 设备 名 称 为 Switch。 在 配置 网 络 
时 , 因 设 备 同 名 ,容易 造成 混 消 ,不便 管 理 与 配置 ,因此 需要 对 设备 进行 重 命名 。 

在 全 局 配置 模式 下 ,可 以 使 用 hostname 命令 对 各 设备 进行 重合 名。 通常 路 由 兹 以 字 
BE R 开头 ,交换 机 以 字母 S 开 头 。 


Router(config) # hostname R1 
Rl(config) # 


3.5.3 配置 接口 


思科 路 由 融 的 接口 有 物理 接口 和 逻辑 接口 等 。 篆 用 的 物理 接口 有 串 行 接口 (Serial , 可 
fn] ^g s). Dirk LA Pd Be Hl (FastEthernet, nf fj 43 f fa Se, e Hd H9 3 $8 Be H1 8 XP Inl Bz HI 
(loopback, n fij 5 lo) Sg, 

loopback f£ HO Z&5é 4& mh 4X FE B DLE it Hos A d Bz D. ,其 状态 一 下 处 于 UP 状态 ,但 允许 
手动 关闭 。 配 置 一 个 loopback 类 似 于 配置 一 个 快速 以 太 网 接口 。 发 往 此 接口 的 数据 将 会 
TIE EH hr TE AS HU, b PR , 

配置 接口 ,对 接口 添加 IP 地 址 的 方法 如 下 : 


Router(config) # interface fa0/0 // 接 口 名 ,具体 接口 
Router(config-if) 4t ip address 192.168.100.1 255.255.255.0 //IP bht, dé fU 


Router(config-if) # no shutdown 


其 中 ,这 里 的 no shutdown 让 物理 接口 保持 UP 状态 ,逻辑 接口 不 需要 此 操作 。 
1) 配置 串 行 接口 (Serial) 
例如 , 串 行 接口 Serial 0/0/0 添加 一 个 IP 地 址 172. 1. 1. 2730 ,命令 如 下 : 


Router(config) # int s0/0/0 
Bouter(config-it) 4 ip add 172.1.1.2 255.255.255.252 
Router(config-if) # no shut 


2) 配置 快速 以 太 网 接口 (FastEthernet) 
例如 ,快速 以 太 网 接口 FastEthernet 0/0 添加 一 个 IP 地 址 192. 168. 100. 1/24, 命 令 如 下 : 
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Router(config)# int f 0/0 
Router(config) # ip add 192.168.100.1 255.255.255.0 
Router(config) # no sh 


3) 设置 环 回 接口 (Loopback) 


口 ,其 状态 一 直 是 UP 状态 ,因此 可 以 不 用 no shutdown 命令 。 


解 接口 的 相关 信息 。 在 接口 模式 下 ,可 通过 


置 正确 ,物理 接口 激活 ,处 于 UP 状态 ,逻辑 协议 工作 正常 ,也 处 于 UP 状态 。 
路 应 该 是 连通 的 ,可 以 通过 相互 ping 相 邻 接口 的 JP 地 址 验证 配置 的 正确 性 。 


Router(config) # int lo 2 
Router(config) it ip add 1.1.2.1 255.255.255.255 


4) 接口 描述 


例如 ,对 环 回 接口 Loopback 2 添加 一 个 IP 地 址 1. 1. 2. 1/32。 注 意 , 环 回 接口 是 逻辑 接 


对 接口 设置 描述 信息 对 网 络 管理 员 来 说 非常 有 必要 ,通过 得 看 摘 述 ,方便 网 络 管理 员 了 


Router(config) # int fa 0/0 
Router(config- if) description Connect To Router2 


配置 完成 后 ,可 通过 show interface fr fr, 
Router # show interfaces 
FastEthernet0/0 is up, line protocol is down (disabled) 


Description: Connect To Router2 


…( 部 分 内 容 省 略 ) 


还 可 以 通过 show ip interface brief 查看 接口 的 摘要 信息 ,结果 如 下 : 


Router # show ip interface brief 


Interface IP - Address OK? Method Status 
FastEthernet0/0 192.168.100.1 YES manual up 

FastEthernet0/1 unassigned YES unset administratively down 
Serial0/0/0 172.1.1.2 YES manual up 

Serial0/0/1 unassigned YES unset administratively down 
Serial0/2/1 unassigned YES unset administratively down 
Loopback 2 Top zc YES manual up 


description 命令 对 接口 描述 进行 设置 。 


Protocol 
up 

down 

up 

down 
down 


up 


上 述 结果 表明 : iah AA fa0/0 接口 、Serial0/0/0 接口 和 Loopback 2 接口 的 IP 地 址 设 


3.5.4 钊 用 查看 命令 


X HF, H JE pE 


T£ 3: by IJ 28 3 ER Ld 2 TERR 5a ABS] T AE E h AB] RA. E US ISTA ERR 8, 
排除 故障 。 
在 Cisco IOS 中 ,查看 路 由 需 或 交换 机 的 命令 为 show 命令 ,可 以 同时 在 用 户 模式 和 特 


第 3 章 ”思科 网 络 设备 与 操作 系统 


权 模 式 下 运行 ,在 其 他 模式 下 需要 在 show 前 面 加 do. show 命令 有 很 多 ,在 特权 模式 下 可 
以 通过 “show ?” 来 提供 一 个 可 利用 的 show 命令 列表 ,和 用 的 有 如 下 几 种 。 

(1) show interfaces: 查看 所 有 路 由 间接 口 状 态 , 如 果 想 要 查看 特定 接口 的 状态 ,可 以 
输入 show interfaces 后 面 跟 上 特定 的 网 络 接口 号 即 可 ,如 : router € show interfaces serial 
07/07/1 ,再 回 车 即 可 显示 广域网 接口 serial 0/0/1 的 接口 状态 信息 。 

(2) show controllers serial; 查看 特定 接口 的 便 件 信息 。 

(3) show clock: frm Ar BH IBI EE. 

(4) show hosts: AA M H s d: DL FUR E fo i. 

(5) show history: 查看 输入 过 的 历史 命令 列表 。 

(6) show flash: 查看 Flash 存储 需 信 息 以 及 存储 需 中 的 IOS 映像 文件 。 

(7) show version; 查看 路 由 送信 息 和 IOS WAS fii B. 

(8) show arp: 查看 路 由 天 的 地 址 解析 协议 列表 。 

(9) show protocol: 查看 全 局 和 接口 的 第 三 层 协议 的 特定 状态 。 

(10) show ip interface brief: 查看 路 由 天 所 有 接口 状态 信息 摘要 ,主要 为 接口 名 称 、IP 
地 址 .是 否 处 于 UP 状态 。 

(1D show ip route: 查看 路 由 表 信 息 。 

(12) show startup-configuration: 查看 存储 在 非 易 失 性 存储 器 (NVRAM) 的 配置 文件 。 

(13) show running-configuration: 查看 存储 在 内 存 中 的 当前 配置 文件 。 

在 学 习 具 体 的 路 由 协议 时 ,还 有 很 多 针对 性 的 show 命令 可 以 查看 更 多 与 路 由 协议 相 
关 的 信息 ,这 些 将 在 第 4 一 7 草 逐 步 介 绍 。 


3.5.5 常用 连通 性 测试 命令 


常用 的 连通 性 测试 命令 主要 是 ping 命令 和 traceroute 命令 ,该 命令 有 以 下 多 种 用 法 。 
(D ping IP 地 址 。 如 R1 访问 目的 地 址 3. 3. 3. 3 ,用 法 如 下 : 


R11t ping 3.3.3.3 
Type escape sequence to abort. 
Sending 5, 100- byte ICMP Echos to 3.3.3.3, timeout is 2 seconds: 


Success rate is 100 percent (5/5), round-trip min/avg/max - 10/10/11 ms 


(2) ping IP 地 址 source IP 地 址 。 如 由 RI 接口 上 的 源 地 址 1. 1. 1. 1 访问 目的 地 址 
3. 3. 3. 3, 用 法 如 下 : 


R1 # ping 3.3.3.3 source 1.1.1.1 

Type escape sequence to abort. 

Sending 5, 100- byte ICMP Echos to 3.3.3.3, timeout is 2 seconds: 

Packet sent with a source address of 1.1.1.1 

Success rate is 100 percent (5/5), round-trip min/avg/max = 10/10/11 msSuccess rate is 100 


percent (5/5), round-trip min/avg/max - 10/10/11 ms 
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(3) traceroute IP 地址。 如 R1 追踪 访问 目的 地 址 3. 3. 3.3 ,同时 显示 访问 路 径 , 用 法 如 下 : 


R1 # traceroute 3.3.3.3 

Type escape sequence to abort. 

Tracing the route to 3.3.3.3 

VRF info: (vrf in name/id, vrf out name/ id) 
1 12.12.12.2 10 msec 10 msec 15 msec 
2 23.23. 23.3 10 msec * 9 msec 


3.6 思科 发 现 协议 


思科 发 现 协 议 (Cisco Discovery Protocol,CDP) 是 思科 私有 的 二 层 网 络 协议 ,工作 在 数据 链 
路 层 。CDP 有 CDPvl 和 CDPv2 两 个 版 本 ,能 够 运行 在 大 部 分 的 思科 路 由 器 和 交换 机 上 。 


3.6.1 CDP 协议 配置 与 查看 方法 


通过 CDP, 直 连 的 思科 网 络 设备 间 可 以 相互 交换 信息 ,可 以 获知 对 方 的 名 称 、 系 统 版 
本 ,接口 ,IP 地址 等 信息 。 

如 图 3-21 所 示 ,三 台 路 由 需 RI.R2,R3 通过 广域网 接口 进行 连接 , 重 命 名 设备 后 配置 
各 接口 ,让 接口 处 于 激活 状态 ,默认 情况 下 ,思科 路 由 器 的 CDP 自动 生效 ,用 no shutdown 
保持 UP 状态 后 ,CDP 自动 开启 。 


s0/2/] 
RI R2 R3 


图 3-21 CDP 协议 示例 拓扑 


R1(config)# int s0/2/1 
R1(config—if)#no shutdown 
R2(config) # int s0/2/1 
R2(config-if) # no shutdown 
R2(config-if) # int s0/0/1 
R2(config-if) # no shutdown 
R3(config) # int s0/2/1 
R3(config-if) # no shutdown 


在 特权 执行 模式 下 ,可 以 通过 以 下 命令 查看 cdp 信息 ,以 下 输出 信息 以 R1 AA, R2. R3 
类 似 。 


R1 # show cdp 

Global CDP information: 
Sending CDP packets every 60 seconds 
Sending a holdtime value of 180 seconds 
Sending CDPv2 advertisements is enabled 
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输出 表明 ,每 60s 会 对 外 发 一 次 CDP 数据 包 , 保 持 时 间 为 180s, 正 在 使 用 CDP 版 
本 2。 

然后 用 show cdp nei 可 以 列表 查看 路 由 天 上 的 CDP 邻居 输出 结果 ,显示 如 下 。 

R1 # show cdp nei 


Capability Codes: R - Router, T - Trans Bridge, B - Source Route Bridge 
S — Switch, H — Host, I — IGMP, rc — Repeater 


Device ID Local Intrfce Holdtme Capability Platform Port ID 
R2 Ser 0/2/1 120 Bs 2811 Ser 0/2/1 
R2 € show cdp neighbors 

… (部 分 内 容 省 略 ) 

Device ID Local Intrfce Holdtme Capability Platform Fort ID 
R1 Ser 0/2/1 168 RSI 2811 Ser 0/2/1 
R3 # show cdp nei 

…( 部 分 内 容 省 略 ) 

Device ID Local Intrfce Holdtme Capability Platform Port ID 
R2 Ser 0/2/1 135 RSI 2811 Ser 0/0/1 


从 输出 中 ,可 以 观察 到 如 下 重要 的 参数 : 

(1) Device ID。 设 备 ID ,指明 邻居 设备 的 主机 名 。 

(2) Local Intrfce。 即 Local Interface, 本 地 路 由 顺 接 口 。 指 明 邻 居 设 备 连 接 本 机 的 
接口 。 

(3) Holdtme。 保 持 时 间 ,指明 在 邻居 表 中 的 邻居 表 项 ,能 在 表 中 的 存活 的 时 间 , 默 认 
情况 下 , 它 是 CDP 间隔 发 送 时 间 的 3 售 ( 即 默认 180s) 。 

(4) Capability。 指 明 连 接 的 设备 类 型 与 文 持 的 功能 ,如 R A R HAS 为 交换 机 、H 为 
主机 ,I 表示 具备 IGMP 功能 。 

(5) Platform。 平 台 类 型 ,指明 邻居 设备 的 具体 型 号 ,此 处 均 为 思科 2811 MH RE. 

(6) Port ID。 端 口 ID ,指明 邻 届 设 备 的 哪个 接口 与 本 机 相连 。 

上 述 结果 表明 ,RI1 通过 本 地 的 S 0/2/1 H0 5 R2 的 S 0/2/1 接口 相连 。R2 通过 本 地 

Hj S 0/2/1 接口 与 RI 的 S0/2/1 接口 相连 ,R2 通过 本 地 的 S 0/0/1 接口 与 R3 的 S 0/2/1 
相连 。R3 通过 本 地 的 S 0/2/1 接口 与 R2 的 S0/0/1 接口 相连 。 这 与 图 3-21 中 的 事实 是 相 
^j HJ 

如 果 需 要 更 详细 的 信息 ,可 以 使 用 以 下 命令 。 


Router # show cdp neighbors detail 


A ER H S EBUT I ARU Fo 


R1 # show cdp neighbors detail 

Device ID: R2 

Entry address(es): 

Platform: Cisco 2811, Capabilities: Router Switch IGMP 
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Interface: Serial0/2/1, Port ID (outgoing port): Serial0/2/1 
Holdtime : 157 sec 


Version Cisco IOS Software, 2800 Software (C2800NM - ADVENTERPRISEK9 — M), Version 12.4(15)T 
9, RELEASE SOFTWARE (fc5) 

Technical Support: http://www. cisco.com/techsupport 

Copyright (c) 1986 - 2009 by Cisco Systems, Inc. 

Compiled Tue 28 — Apr-09 13:10 by prod rel team 

advertisement version: 2 

VIP Management Domain: ' 


结果 除了 前 面 提 及 的 信息 外 ,还 能 显示 更 详细 的 版 本 信息 .版权 信息 等 。 
3.6.2 RA CDP 服务 


CDP 协议 默认 是 开启 的 ,但 也 可 以 通过 命令 关闭 该 协议 ,有 如 下 两 种 方法 。 
1. 全 局 禁用 CDP 


有 时候 为 了 防止 这 些 设备 信息 泄露 ,可 以 在 全 局 配置 模式 下 彻 奔 关闭 CDP。 例 如 ,在 


R2 上 关闭 CDP 协议 。 


R2(config)# no cdp run 

然后 静 候 一 小 会 儿 ( 即 CDP 发 包间 隔 时 间 ,默认 60s) ,再 查看 各 路 由 器 上 CDP 邻居 表 。 
在 Rl1、R3 上 查看 CDP 邻居 表 , 列 表 显 示 为 空 , 效 朱 如 下 : 

R1 # show cdp neighbor 

(部 分 内 容 省 略 ) 


Device ID Local Intrfce Holdtme Capability Platform Port ID 


R3 € sh cdp neighbor 
…( 部 分 内 容 省 略 ) 


Device ID Local Intrfce Holdtme Capability Platform Port ID 


而 R2 上 则 会 提示 CDP 不 可 用 。 


R2 € show cdp neighbor 
% CDP is not enabled 


不 过 ,尽管 此 时 CDP 不 可 用 ,但 如 果 通 过 show ip interface brief 命令 ,可 以 发 现 这 些 接 


口 依然 是 激活 状态 。 


2. 接口 禁用 CDP 


有 时 ,CDP 协议 信息 需要 对 内 发 送 而 对 外 隐藏 ,这 时 候 可 以 在 路 由 融 上 局 用 CDP ,然后 


EXTIR RO EH CDP ,防止 信息 外 泄 ,配置 方法 如 下 。 
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Router(config) # interface [interface] 
Router(config- if) # no cdp enable 


例如 ,在 R2 上 重新 局 用 CDP ,并 在 Serial 0/0/1 接口 上 共用 CDP 功能 。 


R2(config) # cdp run 
R2(config) # int s0/0/1 
R2(config-if) € no cdp enable 
R2(config-if) # exit 


此 时 查看 R2 上 CDP 接口 情 癌 ,可 以 发 现 Serial 0/0/1 已 不 在 列表 中 。 


R2 € show cdp interface 
FastEthernet0/0 is administratively down, line protocol is down 
Encapsulation ARPA 
sending CDP packets every 60 seconds 
Holdtime is 180 seconds 
FastEthernet0/1 is administratively down, line protocol is down 
Encapsulation ARPA 
Sending CDP packets every 60 seconds 
Holdtime is 180 seconds 
Serial0/0/0 is administratively down, line protocol is down 
Encapsulation HDLC 
sending CDP packets every 60 seconds 
Holdtime is 180 seconds 
Serial0/2/0 is administratively down, line protocol is down 
Encapsulation HDLC 
Sending CDP packets every 60 seconds 
Holdtime is 180 seconds 
Serial0/2/1 is up, line protocol is up 
Encapsulation HDLC 
sending CDP packets every 60 seconds 
Holdtime is 180 seconds 


等 竺 一会儿, 等 CDP A £18] Pr Hs] [8] ds 9. ,重新 查看 邻居 表 , 输 出 如 下 内 容 : 


R1 # show cdp neighbor 


…( 部 分 内 容 省 略 ) 
Device ID Local Intrfce Holdtme Capability Platform Port ID 
R2 Ser 0/2/1 164 RSI 2811 Ser 0/2/1 


R2 # show cdp neighbor 


…( 部 分 内 容 省 略 ) 
Device ID Local Intrfce Holdtme Capability Platform Port ID 
R1 Ser 0/2/1 122 RSI 2811 Ser 0/2/1 


R3 # sh cdp neighbor 
…( 部 分 内 容 省 略 ) 
Device ID Local Intrfce Holdtme Capability Platform Port ID 
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此 时 R1、R2 重新 相互 发 现 , 而 R2、R3 之 间 因 为 R2 的 so/0/1 补 禁 用 ,导致 R2、R3 无 
法 知道 对 方 的 信息 。 


3.7 路 由 器 配置 默认 网 关 
有 时 候 为 了 测试 方便 ,经 旬 使 用 路 由 需 临 时 充当 关系 统 ( 如 主机 ) ,此 时 需要 为 其 配置 默 


io. uf 3-22 所 示 , 有 两 台 路 由 器 ,其 中 一 台 充 当主 机 ( 重 命名 为 Host) 。 
f0/0 


Host 


图 3-22  PEIH Ss UL E BLZ P] 


路 由 器 Router 的 快速 以 太 网 接口 FastEthernet 0/0 的 IP 地 址 设 为 192. 168. 1.254, T 
网 掩 码 设 为 255.255.255.0。 配 置 接口 IP 地 址 ,并 激活 接口 ,操作 如 下 : 


Router(config) # int f0/0 
Router(config- if) # ip add 192.168. 1.254 255.255.255.0 
Router(config- if) # no shutdown 


名 为 Host HJ ft HH se E EJS BO EE SX. P XB] E: fit EHI RE ECT Pet H ar B ATTEK i H BE 
Jj ,无 法 配置 路 由 协议 ,可 以 模拟 终端 主机 。 如 要 恢复 路 巾 能力 ,在 全 局 配置 模式 下 使 用 ip 
routing 命令 开启 路 由 功能 。 


Host(config) # no ip routing 


名 为 Host 的 路 由 器 的 Fast Ethernet 0/0 接口 IP 地 址 设 为 192. 168. 1. 1, 子 网 掩 码 设 
为 255. 255. 255.0。 配 置 接口 IP 地 址 并 激活 接口 ,操作 如 下 : 

Host(config) # int f0/0 

Host(config- if) H ip address 192.168.1.1 255.255.255.0 


Host(config- if) # no shutdown 
Host(config- if) # exit 


为 这 台 设 备 配置 默认 网 关 , 注 意 ,ip default -gateway 仅 在 禁用 路 由 功能 时 才 可 用 。 
Host(config) # ip defaul t- gateway 192.168.1.254 
查看 默认 网 关 方法 如 下 : 


Host # sh ip route 
Default gateway is 192.168.1.254 


Host Gateway Last Use | Total Uses Interface 
ICMP redirect cache is empty 
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从 结果 中 看 到 ,默认 网 关 已 经 设置 为 192. 168. 1. 254。 
FH ping 命令 测试 两 台 设 备 测试 连通 性 ,结果 均 为 11111, 可 知 两 台 设 备 已 连通 。 


3.8 SE Ai R ZR 
7 
通过 上 述 对 Cisco IOS 基本 配置 命令 的 介绍 ,下 面 通过 一 个 具体 的 拓扑 图 对 一 些 基 本 
的 配置 进行 实战 演练 ,通过 不 断 练 习 ,为 第 4 一 12 章 实 验 打 下 扎实 基础 。 
1. 实战 拓扑 图 


本 实战 演练 的 拓扑 图 如 图 3-23 所 示 , 共 4 全 路 由 副 , 两 两 之 间 通 过 串口 线 连 接 , 每 侣 路 
由 如 还 设置 一 个 环 回 接口 用 于 测试 ,R1 连接 PCI 用 于 测试 卫 连 链 路 连通 性 。 


34.34.34.0/30 
fa0/0: .254/24 
192.168.1.0/24 


s0/2/0 ETE 


图 3-23 ”路 由 毅 基 础 配置 实战 拓扑 


2. 实战 需求 


按照 步骤 完成 下 列 实验 内 容 : 

(1) 按照 实战 拓扑 图 连接 好 各 设备 。 注 意 路 由 上 需 与 计算 机 的 连接 使 用 交叉 线 , 路 由 关 
串口 之 间 使 用 Serial 口 专用 线 。 

(2) 修改 设备 名 称 。 将 4 台 路 由 兹 分 别 修改 为 R1、R2、R3 和 R4, 

(3) 通过 CDP 协议 构建 路 由 天 之 间 连 接 的 拓扑 结构 图 。 实 验 室 中 ,每 组 实验 设备 的 折 
扑 结构 可 能 和 图 3-23 不 完全 相同 ,但 CDP 协议 可 以 很 好 地 处 理 这 个 问题 。 首 先进 入 路 由 
融 的 各 个 接口 ,接着 no shut 激活 物理 接口 ,这 时 ,CDP 默认 目 动 打开 ,路 由 硕 全 部 接口 都 激 
活 后 ,稍微 等 一 会 儿 , 然 后 每 台 路 由 器 上 查看 CDP 邻居 ,把 每 台 路 由 器 的 邻居 和 接口 看 清 
楚 , 最 后 在 笔记 本 上 做 好 记录 ,把 路 由 右 间 的 拓扑 结构 画 出 来 ,把 相连 的 接口 标记 清楚 ， 

(4) 配置 接口 IP 地 址 。 折 扑 结构 确定 好 后 ,就 可 以 给 路 由 融 接 口 配 置 IP 地 址 了 ,注意 
的 是 ,两 台 路 由 需 直 连 的 两 个 接口 的 IP 地址 必须 在 同一 个 子 网 的 不 同 地 址 , 子 网 掩 码 必须 相 
Fj. un RI 89 S0/2/1 和 R2 的 S0/2/1 相连 ,给 定 的 IP 地址 段 为 12.12.12.0/30,; 则 可 以 在 Rl 
的 S 0/2/1 设置 IP 地 址 为 12. 12. 12.1/30, 在 R2 的 S0/2/1 设置 IP 地 址 为 12. 12. 12. 2/30, 
路 由 器 R1 的 fa0/0 和 PC1 通过 交叉 线 连接 ,fa0/0 的 IP 地 址 作为 PCI 的 默认 网 关 , 两 端 配 
置 好 后 ,PC1 应 该 也 可 以 ping 通 fa0/0 Bj IP 地址。 

(50 查看 路 由 间接 口 状 态 。 配 置 完 接 口 IP 地 址 后 , 即 可 以 通过 show ip interface brief 
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查看 各 接口 状态 ,如 果 每 个 接口 的 IP 地 址 显示 正确 ,物理 状态 和 协议 状态 全 部 是 UP 的 话 ， 
则 配置 正确 。 

(6) 测试 下 连 链 路 连通 性 。 各 接口 IP 地 址 配置 完 , 接 口 状态 全 部 正常 后 ,就 可 以 测试 
下 连 链 路 连通 性 了 。 在 路 由 天 RI 上 ping MHA 2& R2 的 S 0/2/1 接口 地 址 12. 12. 12. 2 , 应 
该 是 可 以 ping 38 Bg, 1E Æ, £in HI 2S R1 E ping PHI 28 R3 的 接口 IP 地 址 能 不 能 ping iÑ 
E? 答案 是 不 可 以 的 。 因 为 R1 和 R3 之 间 跨 越 了 不 同 子 网 ,要 想 让 它们 之 间 能 够 互通 , 需 
要 配置 路 由 协议 ,这 个 到 第 4 章 会 系统 介绍 。 


名 题 与 思考 


1 你 熟悉 思科 华为. 中兴、 星 网 锐 捷 公 司 主流 的 路 由 器 和 交换 机 吗 ? 不 熟悉 的 话 就 去 
网 络 上 搜索 调研 一 下 吧 , 可 以 列表 对 比分 析 下 ,各 个 厂商 的 优势 分 别 有 哪 些 ? 然后 ,继续 网 
络 上 调研 ,这 些 广 商 分 别 在 哪些 领域 应 用 较 广 记 ,这 些 领 域 有 什么 特征 ,你 是 如 何 理解 的 ? 

2. 如 果 给 你 一 台 路 由 器 ,除了 Console 接口 配置 路 由 器 外 ,你 还 有 哪些 方式 可 以 对 这 
台 路 由 需 进 行 配置 ,分 别 需 要 哪些 设备 和 线 缆 的 支持 ?” 想 办 法 找到 这 些 设备 和 线 线 ,然后 到 
实验 室 去 实践 一 下 。 

3. 实验 室 的 设备 一 般 以 小 组 为 单位 ,每 个 小 组 有 多 台中 由 器 和 多 台 交 换 机 ,你 能 将 各 
台 设 备 连 接 起 来 形成 一 个 局 域 网 络 ,然后 通过 CDP 协议 ,将 该 网 络 的 拓扑 结构 图 画 出 来 吗 ? 

4. 当 拓 扑 结 构图 画 出 来 之 后 ,就 可 以 将 该 网 络 划 分 成 多 个 子 网 了 ,你 能 为 这 些 子 网 内 
的 设备 接口 设置 IP 地 址 ,并 完成 百 连 链 路 的 连通 性 测试 吗 ? 跨 不 同 子 网 的 接口 地 址 能 ping 
通 吗 ?为 什么 呢 ? 
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当 我 们 需要 访问 互联 网 时 ,请 求 数据 包 需 要 跨越 多 个 不 同 的 网 络 , 在 互联 网 上 经 由 多 人 台 

不 同 的 路 由 器 ,最 终 到 达 目 的 服务 器 ,这 个 过 程 就 是 路 由 。 本 章 首先 通过 实例 解释 为 什么 需 

要 路 由 ,然后 详细 介绍 路 由 选择 的 基本 原理 及 路 由 度量 因素 ,接着 讲述 路 由 表 结 构 、 路 由 协 

议 类 型 ; 然后 系统 介绍 静态 路 由 .默认 路 由 与 浮动 静态 路 由 的 基本 概念 、 工作 原理 、 配置 方 

法 和 分 析 方 法 ; 以 实例 配置 为 依据 ,给 出 了 错误 检测 与 排 错 技巧 ; 最 后 给 出 实战 演练 ,让 学 
生 系 统 掌 握 路 由 选择 原理 与 静态 路 由 协议 。 


4.1 为 什么 需要 路 由 
丁 首先 介绍 为 什么 需要 路 由 ,然后 介绍 路 由 融 的 主要 功能 。 


4.1.1 路 由 之 问 


$E bc AE Vi In] i 京东、 Amazon 等 各 大 电 商 网 站 购买 促销 产品 ,访问 知 网 .SCI、EI 
数据 库 获 取 学 术 论 文 , 访 问 网 易 云 评 笔 .中国 大 学 MOOC、Coursera 等 平台 进行 在 线 学 习 ， 
访问 锐 捷 、 华 为 .Cisco 等 网 络 基础 设施 提供 商 了 解 最 新 的 产品 的 时 候 , 发 出 的 请 求 数据 包 
是 如 何 到 达 这 些 服务 需 的 呢 ? 这 些 访 问 请 求 数据 包 可 能 要 先 到 达 信 息 学 院 网 关 , 经 过 工科 
楼 群 主 节点 、 校 信息 中 心 主 节点 、 表 到 学 校 网 关 或 边界 路 由 器 ,出 学 校 后 还 要 进入 电信 运营 
商 的 网 络 , 如 中 国电 信和 ,中国 移动 、 中 国联 通 , 跨 越 所 在 的 城市 .所 在 省 份 的 路 由 器 甚至 跨 出 
国境 到 达 其 他 国家 网 络 运 彰 商 , 最 终 达 到 所 要 访问 的 服务 硕 。 

这 个 过 程 中 ,请 求 数据 包 要 经 过 许多 的 路 由 融 , 最 终 到 达 目 的 主机 ,这 种 由 路 由 需 将 数 
据 包 从 一 个 子 网 转发 到 男 一 个 子 网 的 过 程 就 称 为 路 由 。 所 以 ,要 跨越 任 一 网 络 访问 非 本 地 
子 网 的 其 他 网 络 服务 时 ,必须 要 经 过 路 由 。 

在 校园 网 内 部 ,也 大 量 需 要 路 由 。 比 如 信息 学 院 的 学 生 在 实验 室 需 要 访问 学 校 图 书馆 
数据 库 , 如 图 4-1 所 示 , 学 院 学 生 实 验 室 所 在 的 子 网 为 192. 168. 10. 0/24, 其 网 关 为 
192. 168. 10. 254. *£ BE HJ F Pd A 10. 136. 10. 0/24, 3| 35 T. RE EE BE HE B ra. HA NJ 
10. 136. 15. ida s A ^g EL TR HECE ER FRIES SES] 172. 16. 16. 0/24 的 电子 数据 库 贤 源 子 网 。 
因此 ,信息 学 院 的 学 生 访 问 学 校 图 书馆 ,其 访问 请 求 需 要 先 经 过 实验 室 网 关 192. 168. 10. 254, 
跨越 学 院 与 工科 楼 群 子 网 10. 136. 10. 0/24 ,再 经 过 工科 楼 群 与 图 书馆 子 网 10. 136. 15. 0/24 , 然 
后 到 达 图 书馆 数据 库 子 网 网 关 172. 16. 16. 254 ,最 后 到 达 数 据 库 服务 器 172. 16. 16. 1。 中 间 
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的 网 关 都 是 路 由 带 或 三 层 以 上 交换 机 ,否则 无 法 跨 子 网 转发 数据 包 , 这 样 请 求 数据 从 实验 室 
出 发 经 过 3 跳 路 由 就 到 达 了 图 书包 数据 库 。 


10.136.10.0/24 一 -一 10.136.15.0/24 


-— I [p — 


工科 楼 群 主 节点 ww 
信息 学 院 路 由 器 图 书馆 主 节点 
172.16.16.0/24 
192.168.10.0/24 
信息 学 院 实 验 室 主机 数据 库 服务 器 


图 4-1 校园 网 局 部 拓扑 示意 图 


举 一 个 更 形象 的 例子 ,这 个 路 由 过 程 好 比 快递 系统 ,例如 福建 师 大 的 老师 要 发 送 一 个 快 
xb 13€ 31] JU 5 P PHE T. Br «3x 1 De 128 L2 JD is E36 AES IACDR BL. PEG S MUFRE 02 F 
福建 师 大 收 包 囊 ,用 小 三 轮 车 (类 似 子 网 D ÉEG128 3€ 91 48 8 rp X: Fr pC ic Ae» CAS BL 2 , Hd 
Fit Hon 1 表示 ) ,然后 用 小 货车 (于 网 2) 送 到 福州 集散 中 心 ( 路 由 天 2) ,再 用 大 抽 车 (于 网 3) 
送 到 福州 机 场 ( 路 由 天 3), 通 过 飞机 (了 于 网 4) 将 包 右 运送 到 北京 下 都 机 场 ( 路 由 天 4), 
KAEA 5) 送 到 北京 集散 中 心 ( 路 由 天 5) ,然后 用 小 外 车 ( 子 网 6) 送 到 中 科 院 信 工 所 卢 
[X Uic zc vh Ct pH on 60 ,最 后 由 发 件 快 递 员 用 小 三 轮 车 (于 网 7) 将 该 包 夺 送 到 接收 者 手 上 完成 
快 弟 过程。 在 这 个 过 程 中 , 包 右 经 过 多 个 不 同 的 运输 工具 ( 子 网 ) 和 中 转 站 (路 由 天 ) ,各 收发 
站 类 似 用 户 于 网 网 关 , 将 包 陡 由 小 三 琨 转换 为 小 抽 车 运输 ,类 似 于 将 数据 包 由 一 个 子 网 转发 
到 为 一 个 子 网 ; 各 集 佑 中 心 、 机 场 或 火车 站 类 似 网 络 的 中 间 路 由 天 ,将 包 右 由 一 种 交通 工具 
苇 发 到 万 一 种 交通 工具 ,也 类 似 于 将 效 据 包 由 一 个 子 网 荡 发 到 万 一 个 子 网 。 在 这 个 过 程 中 ， 
包 庄 的 最 终 目的 地 址 中 科 院 信 工 所 (目的 IP 地 址 ?永远 不 变 ,但 每 次 到 下 一 跳 地 点 (MAC 地 
址 ) 禾 会 改变 ,经 过 一 步 一 步 中 转 ,逐步 接近 目的 地 。 

综 上 所 述 , 数 据 包 跨 不 同 子 网 访问 ,都 必须 经 过 路 由 。 


4.1.2 路 由 希 功 能 


路 由 帮 是 互联 网 络 最 核心 的 设备 ,能 够 让 世界 上 不 同 的 局 域 网 之 间 实 现 互 联 互 通 。 例 
如 , 福 师 大 校园 内 的 主机 能 访问 北京 大 学 、 加 州 大 学 等 分 布 在 全 世界 的 大 学 。 事 实 上 ,每 个 
大 学 都 有 日 己 的 校园 网 , 剖 属 于 局 域 网 ,不 同 的 局 域 网 之 间 均 通过 路 由 右 互 联 在 一 起 ,为 人 
们 提供 便利 的 网 络 互 联 服 务 。 

当 网 络 规模 比较 庞大 时 ,中 间 要 经 过 多 台 路 由 天 ,如 图 4-2 所 示 , 从 源 端 请 求 主机 到 目 
的 端 服务 主机 之 间 有 多 条 路 径 , 完 竟 怎么 选择 从 源 端 到 目的 端的 最 佳 路 径 呢 ? 这 要 归功 于 
路 由 希 的 功能 。 总 体 来 说 ,路 由 需 的 主要 功能 是 路 由 选择 和 数据 转发 。 

(1) 路 由 选择 。 路 由 天 执行 路 由 选择 要 通过 路 由 去 来 实现 ,根据 路 由 表 中 显示 的 路 由 
条 目 来 转发 数据 包 。 路 由 表 的 构建 有 两 种 方法 ,第 一 种 是 当 网 络 规模 不 大 时 ,网 络 管理 员 可 
以 通过 配置 静态 路 由 协议 手工 指定 路 由 表 , 包 括 配 置 浮动 静态 路 由 和 默认 路 由 ,路 由 需 将 配 
置信 息 直 接 写 人 路 由 表 , 路 由 需 将 一 直 维 持 该 路 由 表 不 变 , 直 到 网 络 管理 员 再 次 修改 路 巾 ; 
第 二 种 是 当 网 络 规模 较 大 时 ,网 络 管理 员 可 以 配置 动态 路 由 协议 ,路 由 需 通 过 路 由 协议 之 间 
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服务 主机 


图 4-2 路 由 硕 功 能 示意 图 


的 多 次 交互 和 月 动 学 习 路 由 :和 常见 的 动态 路 由 协议 有 了 RIP、EIGRP、OSPF JIS-IS、BGP。 


(2) 数据 矶 发 。 路 由 天 接收 到 数据 包 之 后 ,会 该 取 数 据 包 IP. 包头 里 面 的 目的 IP 地 址 ， 


根据 目的 IP 地 址 ,并 与 相应 的 于 网 掩 码 进行 异 或 运算 ,得 到 目的 子 网 的 网 络 地 址 ,根据 该 网 
络 地 址 查找 路 由 表 , 如 条 找到 匹配 的 条 目 就 从 相应 的 下 一 跳 接 口 转发 出 去 , 找 不 到 匹配 的 路 
由 条 目 , 就 看 有 没有 配置 默认 路 由 ,如 果 有 就 按照 默认 路 由 转发 ,如 果 没 有 默认 路 由 则 直接 
丢弃 该 数据 包 , 并 癌 源 问 主 机 发 送 目 的 不 可 达 的 ICMP 控制 消息 。 


4.2 ”路 由 选择 原理 


4.2.1 工作 原理 
路 由 选择 的 工作 原理 通常 可 以 归纳 为 如 下 三 点 ,如 图 4-3 所 示 。 


查询 主机 A 的 默认 网 
关 的 IP 对 应 的 
MAC 地 址 


源 主 机 A 
A JS RS 
包 


得 询 目 标 主 机 B 的 发 送 数据 给 网 关 或 下 
IP 对 应 的 MAC 地 址 — Bip p 


向 源 主 机 A 报 告 
ICMP 差 错 报 文 
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CD 当 计 算 机 学 院 的 主机 A 要 问 男 一 台 目 标 主机 B Ax IP 数据 包 时 ,首先 要 检查 目标 
主机 B 是 否 与 源 主机 A 连接 在 同一 个 子 网 (网 段 . 网 络 ) 上 ,如 果 主 机 B 和 主机 A 属于 计算 
机 学 院 同 一 个 子 网 ,就 可 通过 ARP 协议 直接 查询 目标 主机 B 的 IP 地 址 对 应 的 MAC 地 址 ， 
然后 将 数据 包 直 接 交 付 给 主机 B 而 不 需要 通过 路 由 器 转发 。 

(2) 如 果 目 标 主 机 B 在 通信 学 院 , 与 计算 机 学 院 的 源 主机 A 不 在 同一 个 子 网 内 , 则 源 
主机 A 应 查询 本 机 默认 网 关 的 IP 地 址 对 应 的 MAC 地址 ,并 将 数据 包 发 送 给 默认 网 关 路 由 
器 ,由 该 路 由 器 按照 路 由 表 指 示 的 路 由 条 目 将 数据 包 转 发 给 下 一 跳 路 由 器 ,最 终 到 达 通 信 学 
院 主 机 B. 

(3) 如 果 路 由 表 中 没有 到 达 通 信和 学院 主机 B 的 路 由 , 则 该 路 由 器 将 数据 包 转 发 给 默认 
路 由 ,如果 没 有 配置 默认 路 由 , 则 丢弃 该 数据 包 , 并 癌 源 主机 A 返回 ICMP 目的 不 可 达 的 差 


错 报 文 。 
此 外 ,路 由 器 在 路 由 表 中 选择 路 由 条 目 时 ,如 何 选 路 还 有 如 下 三 原则 ,也 是 动态 路 由 先 
择 协议 的 基础 。 


(1) 子 网 掩 码 最 长 匹配 原则 。 当 一 个 目标 网 络 被 多 个 路 由 条 目 覆 盖 , 即 有 多 条 路 由 能 
够 到 达 同 一 个 目标 网 络 时 ,路 由 颖 选择 其 中 子 网 掩 码 最 长 的 那 条 路 由 。 比 如 信息 学 院 学 生 
实验 室 所 在 的 子 网 为 192. 168. 10.0/24, 要 访问 图 书馆 数据 库 服务 絮 172. 16. 16.1, 有 2 条 
路 申 可 达 : 一 条 是 到 达 172. 16. 16.0/24, 下 一 跷 是 文科 楼 子 网 10. 136. 18. 1; 男 一 条 是 到 达 
172. 16. 16.0/16, 下 一 跳 是 应 用 楼 子 网 10. 136. 28. 8。 由 于 第 一 条 路 由 的 子 网 掩 码 为 /24， 
要 大 于 第 二 条 路 由 /16, 所 以 这 时 路 由 器 选择 第 一 条 路 由 ,将 发 往 图 书馆 的 数据 包 转 发 给 下 
— k 10. 136. 18. 1。 需 要 注意 的 是 ,如 果 有 发 往 172. 16. 18. 1 的 数据 包 , 路 由 大 将 选择 第 二 
条 路 由 172. 16. 16.0/16 ,下 一 跳 转 发 给 10. 136. 28. 8, 因 为 目标 IP 地 址 172. 16. 18. 1 PE 
含 在 网 络 172.16.16.0/24 中 。 

(2) 管理 距离 最 小 优先 原则 。 当 子 网 掩 码 相 同时 ,路 由 器 选择 管理 距离 (AD) 最 小 的 那 
个 路 由 和 条目。 例如 ,要 访问 图 书馆 数据 库 服 务 器 172. 16. 16.1, 有 两 种 路 由 协议 均 可 达 .: 一 
种 是 RIP 协议 ,AD 值 是 120, 另 一 种 是 EIGRP 协议 ,AD 值 是 90。 这 时 ,路 由 器 选择 
EIGRP 协议 学 习 到 的 路 由 条 目 放 人 路 由 表 中 ,参与 路 由 转发 。 需 要 注意 的 是 ,同时 配置 多 
种 路 由 协议 ,路 由 器 只 会 选择 AD 值 小 的 那 种 协议 学 习 到 的 路 由 条 目 放 入 路 由 表 , 而 不 会 将 
多 种 路 由 协议 学 习 到 的 路 由 条 目 同时 放 人 路 由 表 。 

(3) 度量 信 最 小 优先 原则 。 在 子 网 掩 码 和 路 申 协议 的 管理 距离 都 相等 的 情况 下 ,路 由 
需 选 路 的 原则 是 选择 度量 值 最 小 的 路 由 。 例 如 ,要 访问 图 书馆 数据 库 服务 天 172. 16. 16. 1. 
路 由 器 通过 AD 值 先 确定 了 路 由 协议 EIGRP ,到 达 172. 16. 16. 1 的 路 由 有 2 条 ,一 条 是 通 
过 市 党 1000M 的 链 路 ,下 一 跳 是 10. 136. 18. 1; 一 条 是 通过 市 宽 100M 的 链 路 ,下 一 跳 是 
10. 136. 28.8。 根 据 EIGRP 的 度量 值 ,市 宽 越 大 度量 值 越 小 ,因此 路 由 冀 最 终 选 择 第 一 条 
链 路 放 入 路 由 表 , 下 一 跳 是 10. 136. 18. 1. 


4.2.2 数据 转发 原理 
当 路 由 器 接口 收 到 数据 包 后 ,开始 对 数据 包 执行 数据 转发 处 理 ,转发 处 理 主要 包含 如 下 


4 个 过 程 。 
(1) 拆 包 (remove the data link layer address)。 需 要 转发 的 数据 进入 路 由 冀 接 口 后 ,路 
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由 融 接 口 收 到 的 是 物理 层 比特 流 , 回 上 传递 到 数据 链 路 层 形成 数据 帆 , 刊 离 链 路 层 的 央 头 和 
WE; 获得 IP 数据 包 之 后 对 其 进行 拆 包 处 理 , 获 取 IP 包头 信息 ; 找到 该 数据 包 的 目的 主机 
IP 地 址 ,最 后 写 其 于 网 掩 人 码 进行 异 或 操作 后 得 到 目的 于 网 的 网 络 地 址 。 

(2) 查 表 (refer to the routing table)。 路 由 问 得 到 数据 包 的 目的 子 网 的 网 络 地 址 后 , 接 
看 查询 上 月 己 的 路 由 表 , 这 个 过 程 称 为 查 表 。 查 表 选 路 的 过 程 依据 4. 2. 1 T dX Bet 
则 执行 ,最终 获得 到 达 目 的 子 网 的 最 优 路 由 ,如 果 没 有 路 由 , 则 丢 包 处 理 , 并 返回 源 端 ICMP 
控制 消息 ,告知 源 端 主机 该 目的 主机 不 可 达 。 

(3) HX (encapsulating a new frame)。 当 路 由 天 通 过 查 表 找 到 最 优 路 由 后 ,根据 路 由 
表 中 的 路 由 条 目 ,找到 这 条 路 由 的 下 一 跳 IP 地 址 ,根据 ARP 协议 解析 出 该 IP 地 址 对 应 的 
MAC 地 址 。 然 后 ,该 数据 包 从 网 络 层 下 送 到 数据 链 路 层 , 并 将 该 下 一 跳 的 MAC 地 址 重新 
封装 到 帧 头 部 , 重 装 成 新 的 数据 帧 。 

(4) 转发 (forwarding the packet) 。 重 新 封 闻 的 数据 帧 从 路 由 融 的 出 接口 转发 出 去 , 顺 
利 到 达 下 一 跳 接 口 ,被 下 一 跷 路 由 颖 收 到 。 

下 一 跳 路 由 旨 收 到 数据 后 ,继续 拆 包 、 查 表 、 重 流转 发 ,数据 最 终 达 到 目的 主机 ,完成 数 
据 转 发 。 数 据 包 在 上 述 被 路 由 天 转发 过 程 中 ,其 目的 了 于 网 的 网 络 地 址 始终 保持 不 变 , 而 
MAC 地 址 在 不 断 地 变化 ,数据 包 不 断 地 回 目的 子 网 靠近 ,直到 最 终 到 达 目 的 主机 。 


4.2.3 党 理 距离 


管理 距离 (Administrative Distance,AD) 是 路 由 条 目 中 一 个 非常 重要 的 参数 ,用 来 衡量 
路 由 选择 信息 的 可 信 度 与 路 由 协议 的 可 徘 性 ,可 以 根据 该 参数 选择 路 由 协议 。 管 理 距离 是 
一 个 取 值 为 0 一 255 的 整数 ,数值 越 小 ,管理 距离 越 小 ,意味 着 可 信和 度 越 高 ,反之 亦 然 。 路 由 
协议 默认 的 管理 距离 如 表 4-1 所 示 , 其 中 0 表示 最 可 信赖 ,255 则 表示 最 不 信赖 ,将 不 会 有 任 
何 数 据 通 过 这 条 路 由 。 由 上 述 表 格 信息 可 知 , 如 果 某 个 网 络 通 过 接口 与 路 由 间 和 耳 连 ,那么 路 
由 间 将 一 耳 使 用 这 个 接口 连接 该 网 络 。 如 果 路 由 前 上 配置 了 一 条 绥 态 路 由 ,那么 该 路 由 亲 
将 确信 这 条 路 由 要 优先 于 通过 动态 路 由 所 学 习 到 的 路 由 。 

表 4-1 路 由 协议 默认 的 管理 距离 


路 由 选择 协议 (Routing Protocol) 管理 距离 (AD) 
Á ii H (connected) 0 
静态 路 由 (static) l 
EBGP 20 
EIGRP 90 
IGRP 100 
OSPF 110 
RIP 120 
外 部 EIGRP 170 
IBGP 200 
ZR NI 255 


Vit Hus T ds AD TELE E Pet FH DIAC A A rtt EH A dc BC 0 P3 2E f] — H BS IE 55 B3) per HH E r 
信息 ,路 由 豆 会 首先 检查 这 两 条 路 由 的 AD 值 , 然 后 选取 这 两 条 路 由 中 AD 值 较 低 的 那 条 路 
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由 放置 在 日 映 的 路 由 表 里 。 如 来 这 两 条 路 由 具有 相同 的 AD, 26 B8 2 H B Ze FB [8] B5) fer Hn H 
TX ,那么 路 由 珍 将 选择 度量 值 ( 如 跳 计 数 或 链 路 市 宽 等 ) 作 为 评判 路 径 优 禾 的 依据 ,度量 值 较 
小 的 那 条 路 由 将 被 放 入 路 由 表 里 。 如 果 两 条 路 由 具有 相同 的 AD 和 相同 的 度量 值 , 此 时 路 
由 选择 协议 将 会 对 这 两 条 路 由 所 通告 的 路 径 使 用 负载 均衡 ,将 数据 包 等 分 后 通过 这 两 条 路 
径 发 送 到 目的 主机 。 


4.2.4 度量 值 


度量 值 (Metric) 是 路 由 条 目 中 男 一 个 非常 重要 的 参数 ,用 来 衡量 同一 路 由 协议 下 路 答 
的 可 信和 度 ( 管 理 距离 是 用 来 衡量 路 由 协议 的 可 信和 度 , 不 要 混 清 )。 度 量 值 可 以 由 一 个 或 几 个 
度量 因素 综合 决定 ,例如 跳 计 数 (Hop Count) , pE FE w (Bandwidth) , 4E HF (Delay) ,负载 
(Load) ,可 靠 性 (Reliability) 等 ,也 可 以 是 某 个 特定 时 间 内 的 通信 和 量 、 链 路 差错 率 等 。 

如 何 选 择 度 量 因 系 取 决 于 所 选取 的 路 由 协议 ;不同 的 路 由 协议 度量 因 系 不 同 。RIP BP 
议 的 度量 因素 只 有 跳 计 数 ,OSPF 协议 的 度量 因素 是 cost, 只 和 和 链 路 融和 党 有 关 , 而 EIGRP B) 
议 的 度量 因素 和 链 路 市 宽 、 时 延 、 负 载 . 可 徘 性 等 都 有 关系 。 

度量 值 越 小 说 明 该 条 路 径 的 可 信和 度 越 高 ,最 高 可 信和 度 的 路 径 被 放 人 路 由 表 , 反 之 亦 然 。 
如 此 说 管理 距离 用 来 判断 不 同 路 由 协议 的 好 坏 ,那么 度量 值 怠 能 判断 相同 路 由 协议 下 不 同 
路 径 的 优 劣 。 


4.3 路 由 表 


路 由 器 为 了 完成 对 数据 包 的 路 由 选择 与 数据 转发 工作 ,需要 依赖 路 由 表 。 因 此 ,路 由 器 
从 启动 开始 就 要 建立 和 维护 路 由 表 , 以 保存 到 达 各 个 目的 子 网 的 路 径 相关 数据 , 供 路 由 选择 
时 使 用 。 


4.3.1 路 由 表 的 组 成 部 分 


在 思科 路 由 硕 上 ,可 以 在 IOS 特权 模式 中 输入 Router show ip route 命令 查看 当 
前 路 由 表 , 这 条 命令 非常 重要 。 例 如 ,在 Router 上 查看 路 由 表 ,得 到 如 下 结果 : 


Router # show ip route 

Codes: C- connected, S- static, R- RIP, M- mobile, B- BGP /路 由 协议 代 但 

D- EIGRP, EX- EIGRP external, O- OSPF, IA- OSPF inter area 

N1 — OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 

El — OSPF external type 1, E2 — OSPF external type 2 

i — IS- IS, su — 15— IS summary, Ll ~ IS- IS leyet—-1, L2 - IS- IS level-2 
ia-IS - IS inter area, * -— candidate default, U- per-user static route o-ODR, 
P — periodic downloaded static route 


Gateway of last resort is not set // 下 面 是 路 由 条 目 
1.0.0.0/24 is subnetted, 1 subnets //1.0.0.0/24 已 连接 ,有 11 个 于 网 
C 1.1.1.0 is directly connected，Loopback0 / /C 表示 直 连 子 网 


R 3.0.0.0/8 [120/2] via 172.16.1.2, 00:00:09, Serial0/2/1 //R 表示 通过 RIP 协议 学 到 的 路 由 


第 4 章 ”路 由 选择 原理 与 静态 路 由 协议 


172.16.0.0/24 is subnetted, 2 subnets 
C 172.16.1.0 is directly connected, Serial0/2/1 
R 172.16.2.0 [120/1] via 172.16.1.2, 00:00:09, Serial0/2/1 


M E rix A pi pH xe n] LUE SH ,路 由 表 由 路 由 协议 代码 部 分 和 路 由 条 目 部 分 组 成 。 路 巾 
协议 代码 部 分 给 出 了 所 有 路 由 协议 在 路 申 条 目 中 的 代号 ,如 CC 表示 直 连 路 由 ,S 表示 静态 路 
由 ,R 表示 通过 RIP 学 习 到 的 路 由 ,D 表示 EIGRP 协议 学 到 的 路 由 ,O 表示 OSPF 协议 学 
到 的 路 由 。 路 由 条 目 部 分 给 出 了 路 由 硕 进 行路 由 选择 所 需要 的 所 有 信息 ,主要 包括 路 申 类 
型 目标 网 络 地 址 .| AD/Metric|, 下 一 跳 IP 地 址 ,本 地 出 接口 等 。 

路 由 条 目 R 3.0.0. 0/8(120/2]via 172. 16. 1.2, 00:00:09, Serial0/2/1 显示 了 通过 
RIP 协议 学 到 的 路 由 ,目的 网 络 地 址 是 3. 0.0.0/8,AD 值 是 120, 到 达 该 目的 网 络 要 经 过 2 
跳 距 离 , 下 一 跳 IP 地 址 是 172. 16. 1. 2, 还 需要 9s 更 新 一 次 路 由 信息 ,本 地 出 接口 是 
Serial0/2/1。 这 个 路 申 条 目 连贯 起 来 可 以 这 人 么 看 : 该 路 由 需 通 过 RIP 协议 ,从 本 地 出 接口 
Serial0/2/1 转发 数据 包 到 下 一 跳 IP 地 址 172. 16. 1. 2, 经 过 2 跳 的 距离 ,到 达 目 的 子 网 
3. 0.0. 0/8, 


4.3.2 路 由 表 条 目 类 型 


路 由 表 的 路 由 条 目 根 据 学 习 途 径 的 不 同 , 主 要 有 如 下 几 种 类 型 : 

(OD 直 连 路 由 。 路 由 器 直 连 接口 ,配置 好 IP 地 址 并 激活 后 ,自动 写 人 路 由 表 的 路 由 。 

(2) 主机 路 由 。 子 网 掩 码 为 32 位 的 路 由 。 

(3) VLSM 子 网 路 由 。 是 经 过 子 网 划分 之 后 ,路 由 协议 学 到 的 路 由 。 

(4) 汇总 路 由 。 可 以 是 目 动 汇总 后 的 路 由 ,也 可 以 是 手动 汇总 后 学 习 到 的 路 由 ,把 明细 
的 路 由 汇总 成 更 大 网 络 的 路 巾 。 

(5) CIDR 超 网 。 手 动 配置 的 , 子 网 掩 码 的 位 数 比 默认 网 络 掩 码 要 少 的 路 由 。 

(6) 主 网 路 由 。 采 用 主 网 默认 网 络 掩 码 的 路 由 。 

(7) 默认 路 由 。 局 域 网 边界 路 巾 堪 对 外 配置 的 路 由 ,0. 0. 0. 0/0 ,表示 能 够 访问 任意 外 
网 服务 。 


4.3.3 RARER UU) 


H rh e nh IF EA ht i HH AR H BS EST e s it EH n DR HI Hc K UG Bo Jet DU] JE T; dr ue. AR 
4. 2. 1 P t FH XXE EE JE . Pt FH o b BR ERE A KY UL 2c JL E Cf t BE Z6. 主机 路 由 二 子 网 路 由 人 
汇总 路 由 二 主 网 路 由 二 超 网 路 由 二 默认 路 由 。 


4.3.4 路 由 剖 的 加 表 原 则 
路 由 器 如 何 将 最 佳 路 由 加 入 ( 写 入 ) 路 由 表 ? 主 要 考虑 如 下 几 个 原则 ; 
(1) 当 到 达 同 一 个 目的 子 网 配置 不 同 的 路 由 协议 时 ,路 由 器 根据 协议 的 AD 值 选 择 路 


由 协议 ,将 AD 值 小 的 路 由 加 入 路 申 表 ( 篆 用 的 静态 路 由 AD 是 1,RIP 是 120, OSPF 是 
110,EIGRP 是 90) 。 
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(2) 踏 由 带 通 过 不 同 的 路 由 协议 学 习 到 不 同 目的 子 网 的 路 由 ,部 加 入 路 由 表 。 
(3) 路 由 融通 过 同 种 路 由 协议 学 习 到 同一 个 目的 子 网 的 不 同 路 径 , 则 比较 度量 信 
Metric, T£ Metric 值 小 的 路 径 加 入 路 由 系 。 


4.4 路 由 协议 类 型 


路 由 协议 也 称 为 路 由 选择 协议 ,分 类 方式 有 很 多 。 从 林 载 路 由 协议 运行 的 角度 可 以 分 
为 主动 路 由 协议 己 和 被 动 路 申 协议 ,从 路 由 天 是 否 目 行 学 习 的 角度 可 以 分 为 静态 路 由 协议 与 
动态 路 由 协议 ,从 目 治 系 统 角度 可 以 分 为 内 部 网 关 路 由 协议 己 外 部 网 天 路 申 协议 ,从 能 个 文 
持 VLSM 而 言 还 可 以 分 为 有 类 路 由 协议 与 无 类 路 由 协议 。 


4.4.1 主动 路 由 协议 与 被 动 路 由 协议 


1) 主动 路 由 协议 

主动 路 由 协议 在 被 动 路 由 协议 的 基础 上 ,在 路 由 兹 之 间 共 享 路 由 选择 信息 ,实现 路 由 的 
传送 、 更 新 和 同步 。 主 动 路 由 协议 允许 路 由 兹 与 其 他 路 由 旨 通 信 来 修改 和 维护 路 由 表 , 如 
RIP、RIPv2、EIGRP 和 OSPF 等 协议 。 

2) 被 动 路 由 协议 

被 动 路 由 协议 是 能 够 承载 主动 路 由 协议 的 网 络 层 协议 ,是 在 网 络 层 中 提供 了 足够 信息 
的 网 络 协议 ,该 协议 允许 将 数据 包 从 一 个 主机 转发 到 以 IP 地 址 方案 为 基础 的 另 一 个 主机 ， 
如 IP 协议 。 


4.4.2 静态 路 由 协议 与 动态 路 由 协议 


1) 静态 路 由 协议 

静态 路 由 协议 完全 由 网 络 管理 员 手 动 指定 数据 包 的 转发 路 径 , 因 其 AD 值 为 1, 除 了 和 直 
连 之 外 ,可 信和 度 最 高 ,优先 于 任意 的 动态 路 由 协议 。 当 网 络 拓扑 结构 发 生变 化 时 ,需要 网 络 
管理 员 重 新 配置 。 

2) 动态 路 由 协议 

动态 路 由 协议 路 由 器 能 够 根据 既定 的 路 由 协议 适时 地 进行 路 由 器 间 的 路 由 信息 交换 ， 
从 而 对 自身 的 路 由 表 进 行 更 新 与 维护 ,并 且 可 以 在 网 络 拓扑 发 生变 化 时 进行 自动 调整 。 与 
由 网 络 管理 员 手 工 指定 转发 路 径 的 静态 路 由 相对 ,动态 路 由 协议 无 须 网 络 管理 员 手 动 添加 
路 由 , 它 可 以 目 行 查找 网 络 并 更 新 路 由 表 , 使 用 起 来 比 静 态 路 由 容易 ,但 是 会 占用 更 多 的 
CPU 资源 和 网 络 带宽 , 常 适 应 于 网 络 规模 大 ,拓扑 结构 复杂 的 网 络 。 

动态 路 由 协议 可 以 分 为 如 下 三 类 : 

(D 距离 矢量 路 由 协议 。 距 离 就 是 源 端 到 达 目 的 端 要 经 过 多 少 跳 路 由 ,矢量 就 是 方向 ， 
从 源 端 要 走 哪个 方 品 才能 到 达 目 的 端 , 该 协议 依据 距离 的 大 小 和 方 品 来 决定 源 端 到 达 目 的 
网 络 的 最 佳 路 径 。RIP 协议 是 典型 的 距离 矢量 路 由 协议 ,该 协议 在 进行 路 由 选择 时 ,数据 包 
每 跨越 一 台 路 由 器 ,就 称 为 一 跳 。 到 达 目 的 网 络 所 经 过 跳 数 最 少 的 路 径 被 认为 是 最 佳 路 径 。 
配置 距离 矢量 路 由 协议 的 路 由 器 将 定期 发 送 自己 的 路 由 表 给 直接 相连 的 路 由 器 。RIP 和 
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IGRP 部 属于 距离 天 量 路 由 选择 协议 。 

(2) 链 路 状态 路 由 协议 。 使 用 链 路 状态 来 进行 路 由 选择 , 相 较 于 使 用 距离 天 量 路 由 协 
议 的 路 由 需 , 它 可 以 了 解 到 更 多 关于 网 络 的 情况 。 该 协议 要 求 路 由 状 创 建 邻 接 关 系数 据 库 
(用 来 记录 百 接 相 连 的 邻居 路 由 天) 网 络 折 扑 数据 库 ( 用 来 确定 整个 互联 网 的 折 扑 结构 和 备 
份 路 由 信息 ) .路 由 表 ( 用 来 记录 最 佳 路 由 信息 ) 这 3 个 表 库 。 配 置 链 路 状态 路 由 协议 的 路 由 
骼 将 发 送 包含 有 上 月 身 链 接 状 态 的 路 由 更 新 信息 到 其 他 所 有 建立 邻接 关系 的 直 连 路 由 希 上 ， 
然后 冉 由 这 些 路 由 天 传播 到 它们 的 邻接 设备 上 。OSPF 协议 是 一 种 典型 的 链 路 状态 路 由 
协议 。 

(3) 混合 型 协议 。 混 合 型 协议 同时 具备 距离 天 量 路 由 协议 和 链 路 状态 路 由 协议 的 特 
性 。 例 如 思科 私有 ( 专 有 ) 的 EIGRP 协议 就 是 一 种 混合 型 协议 。 

3) 评 态 路 由 协议 和 动态 路 由 协议 的 对 比分 析 

下 面 从 适用 的 网 络 拓扑 结构 .适用 的 网 络 环境 ,应 对 拓扑 结构 要 化 .路 由 优先 级 、 黄 源 少 
耗 、 可 午 性 .可 控 性 等 方面 对 静态 路 由 协议 和 动态 路 由 协议 进行 对 比分 析 , 如 表 4-2 所 示 。 

表 4-2 静态 协议 与 动态 协议 的 比较 


静态 路 由 协议 动态 路 由 协议 
适用 的 网 络 拓 扑 结 构 催 单 .稳定 E AE 
适用 的 网 络 环境 小 型 网 络 中 、 大 型 网 络 
应 对 网 络 拓扑 结构 变化 ”网 络 管理 员 手 动 配置 修改 。” 路 由 带 之 间 交 互 路 由 信息 ,周期 性 或 触发 日 动 更 
路 由 优先 级 非常 局 较 低 
SE US IH FE 非常 低 对 CPU 内存 消耗 局 
np 3E TE 非常 局 A BT s IHE EH TE 
可 控 性 JER 较 低 «EJ Bit H A uE RB EE E 


4.4.3 内 部 网 天 协议 与 外 部 网 关 协 议 


在 规模 庞大 的 互联 网 中 如 果 使 用 单一 的 路 由 选择 协议 是 不 现实 的 ,更 合适 的 做 法 是 将 
网 络 组 织 为 多 个 目 治 系统 (AS) ,每 个 AS 目 行 规划 .选择 .管理 该 AS 的 路 由 选择 协议 。 根 
据 是 否 处 于 同一 个 月 治 系统 ,动态 路 由 协议 还 可 以 分 为 内 部 网 关 协 议 (Interior Gateway 
Protocol,IGP) 和 外 部 网 关 协 议 (Exterior Gateway Protocol. EGP), IGP 在 一 个 AS 内 部 使 
用 ,EGP 在 AS 之 间 传 输 路 由 选择 信息 。 

日 治 系 统 有 一 个 具有 统一 官 理 机 构 Si — fit H1 R EE Pod £6 ITE HU RCAILJ ARP. TE 
这 个 范围 里 ,可 以 是 一 个 简单 的 局 域 网 络 ,也 可 以 是 一 个 大 型 的 网 络 群体 ,只 要 是 相同 的 路 
HERI. AS 还 是 一 个 相对 独立 的 ,可 控 的 网 络 单 元 ,也 称 为 路 由 选择 域 (Routing 
domain) , 

D 内 部 网 天 协议 

用 于 同一 个 AS 中 的 所 有 路 由 希 之 间 共 吾 的 路 由 选择 协议 , 币 用 的 有 RIP, EIGRP, 
OSPF 等 协议 。 
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2) 外 部 网 关 协 议 
外 部 网 关 协 议 用 于 不 同 AS 之 间 的 通信 和 路 由 选择 ,典型 的 有 BGP(Border Gateway 
Protocol ,边界 网 关 协 议 ) 和 BGP-4 协议 。 


4.4.4 有 类 路 由 协议 与 无 类 路 由 协议 


根据 是 否 支 持 VLSM ,路 由 协议 还 可 以 分 为 有 类 路 由 协议 和 无 类 路 由 协议 。 

D 有 类 路 由 协议 

有 类 路 申 协议 在 路 由 更 新 广播 中 不 携带 相关 网 络 的 子 网 掩 码 信息 ,在 网 络 边界 按 标 准 
的 网 络 类 别 (A 类 .B 类 、C 类 ) 发 生 自 动 汇总 , 且 自 动 假设 网 络 中 同一 个 标准 网 络 的 各 子 网 
总 是 连续 的 。 

有 类 路 由 协议 的 典型 代表 : RIP Version 1(RIPv1) 和 IGRP。 

2) 无 类 路 由 协议 

与 有 类 路 由 协议 相对 ,无 类 路 由 协议 在 路 由 更 新 广播 中 携带 相关 网 络 的 子 网 掩 人 码 信息 ， 
还 支持 携带 可 变 长 子 网 掩 码 C(VLSM) 人 信息。 无 类 路 由 协议 可 以 手动 控制 是 否 在 一 个 网 络 边 
界 进行 汇总 。 

无 类 路 由 协议 的 典型 代表 : RIP v2, EIGRP 和 OSPF, 


4.5 静态 路 由 协议 与 配置 方法 


4.5.1 静态 路 由 协议 


静态 路 由 (static routing) 是 网 络 管理 员 事先 以 手工 方式 输入 配置 命令 写 人 路 由 表 中 的 
路 由 。 

静态 路 由 协议 具有 如 下 特点 : 

d) 静态 路 由 信息 在 默认 情况 下 属于 各 台 路 由 器 私有 ,是 稳定 不 变 的 ,也 不 会 传递 给 其 
他 的 路 由 颖 ,因而 不 会 占用 链 路 的 有 效 带 宽 。 

(2) 静态 路 由 因为 不 涉及 各 路 由 器 之 间 共 享 、 更 新 .同步 路 由 信息 ,所 以 也 不 会 占用 路 
H1 8X A HIT EUR. 

(3) 当 网 络 链 路 的 状态 或 者 网 络 的 拓扑 结构 发 生变 化 时 ,网 络 管理 员 需 要 手动 去 修改 
路 由 器 中 相关 的 静态 路 由 信息 ,所 以 不 适合 在 大 型 网 络 中 使 用 。 

(4) 在 所 有 的 路 由 协议 中 ,静态 路 由 的 AD 值 为 1, 优先 级 最 高 ,在 路 由 选择 上 静态 路 由 
比 动态 路 由 协议 优先 。 

(50 由 于 静态 路 由 具有 配置 简单 、 路 由 器 负载 小 ,效率 高 ,可靠 性 与 可 控 性 强 等 原因 ,经 
党 被 使 用 在 一 些 规模 不 大 、 拓 扑 结 构 相 对 固定 的 小 型 网 络 环境 中 ，。 

(6) 如 果 出 于 安全 的 考虑 想 隐 藏 网 络 的 某 些 部 分 或 者 管理 员 想 控制 数据 转发 路 径 ,也 
会 使 用 静态 路 由 。 
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4.5.2 静态 路 由 的 配置 语法 
在 全 局 配置 模式 下 可 以 配置 静态 路 由 ,其 命令 语法 如 下 


Router(config) 井 ip route [destination network] [mask] [exit interface|next- hop address] 


[administrative distance] [permanent] 


其 中 ,各 字段 的 含义 如 下 。 

(1) ip route: 表态 路 由 配置 命令 。 

(2) destination network: 目的 子 网 的 网 络 地 址 。 

(3) mask: 目的 子 网 对 应 的 子 网 掩 人 码 。 

(4) exit interface: 本 路 由 硕 的 出 站 接口 ,也 称 本 地 出 接口 ,可 以 输出 要 转发 的 数据 包 ， 
数据 包 从 该 接口 发 出 ,然后 到 达 下 一 跳 地 址 所 在 接口 。 

(5) next-hop_address: 下 一 跳 地 址 ,本 地 出 接口 和 该 下 一 跳 接 口 表现 为 一 个 直接 连接 
的 路 由 。 

中 括号 中 间 的 竖 线 表示 竖 线 两 边 的 参数 二 选 一 , 即 命 令 配 置 时 ,本 地 出 接口 和 下 一 跳 地 
址 任 选 一 个 即 可 。 

(6) administrative distance; 管理 距离 (AD) ,默认 情况 下 ,静态 路 由 的 管理 距离 " l; 
优 于 其 他 任何 路 由 协议 ,AD 就 是 关于 路 由 的 可 徘 程 度 , 其 中 值 为 0 最 好 ,而 值 为 255 最 

(7) permanent; 即使 接口 被 关闭 或 者 路 由 融 不 能 与 下 一 跳 路 由 大 通信 ,这 一 路 由 
将 保留 在 路 由 表 中 而 不 按 默认 情况 被 删除 。 

administrative distance 和 permanent 是 可 选项 ,可 以 不 用 配置 。 

例如 : 


Router(config)it ip route 192.168.2.0 255.255.255.0 s0/2/1 


一 命令 表明 ,为 了 到 达 网 络 号 为 192. 168. 2. 0, 4 3 Jg 255. 255. 255.00 的 网 络 , 所 有 
gia 4 BILE TH a HJERTT EE II Serial 0/2/1 发 出 。 


Router(config) # ip route 192.168.12.0 255.255.255.0 192.168.1.2 


一 命令 表明 ,为 了 到 达 网 络 号 为 192. 168. 12. 0,44 83 y 255. 255. 255. 0 的 网 络 ,所 有 
OO 
如 果 要 删除 一 条 静态 路 由 配置 ,只 需要 在 原配 置 命 令 前 加 上 no, 其 他 部 分 保持 不 变 。 
形式 如 下 : 


Router (config) # no ip route [destination network] [mask] [exit interface | next - hop 
address] [administrative distance] [permanent] 


例如 : 


Router(config) # no ip route 192.168.12.0 255.255.255.0 192.168.1.2 


一 命令 将 原来 配置 到 目的 子 网 192. 168. 12. 0/24 的 静态 路 由 删除 。 
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4.5.3 出 接口 和 下 一 跳 IP 地 址 的 区 别 


在 配置 静态 路 由 时 ,配置 本 地 出 接口 和 下 一 跳 IP 地 址 都 能 顺利 写 入 路 由 表 并 执行 相应 
的 路 由 ,但 二 者 有 以 下 细微 区 别 : 

OD 在 以 太 网 环境 (以 太 网 接口 ) 下 ,如果 配置 的 是 本 地 出 接口 ,那么 路 由 器 会 针对 每 个 
可 能 的 目标 主机 都 进行 一 次 ARP 解析 , ARP 条 目 会 与 目标 主机 的 数量 成 正比 。 反 之 ,如 果 
配置 的 是 下 一 跳 IP 地 址 ,那么 路 由 屁 只 需要 第 一 次 就 对 下 一 跳 IP 地 址 进行 ARP 解析 ,之 
后 对 该 目的 子 网 下 不 同 的 目标 主机 都 使 用 下 一 跳 接 口 的 MAC 地址 进行 封 沪 ,此 时 , ARP 
条 目 与 目标 主机 的 数量 没关系 。 因 此 ,以 太 网 环境 下 配置 下 一 跳 IP 地 址 更 高 效 。 

(2) 在 串 行 链 路 环境 ( 串 行 接口 ) 下 ,如果 配置 的 是 本 地 出 接口 , 当 路 由 疾 收 到 数据 包 时 
可 以 直接 将 数据 包 从 本 地 出 接口 发 送出 去 。 如 果 配 置 的 是 下 一 跳 IP 地 址 , 则 路 由 器 需要 对 
下 一 跳 的 路 由 可 达 性 进行 递归 检查 。 因 此 ,以 串 行 链 路 环境 下 配置 本 地 出 接口 更 高 效 。 

在 配置 静态 路 由 时 ,以 太 网 环境 推荐 使 用 下 一 跳 IP 地 址 , 串 行 链 路 环境 推荐 使 用 本 地 
出 接口 ,这样 可 以 避免 不 必要 的 错误 。 


4.5.4 静态 路 由 的 优 缺 点 


静态 路 由 具有 如 下 优点 : 

(1) 配置 简单 ,不 需要 进入 路 由 进程 ,也 没有 其 他 配置 参数 。 

(2) 不 增加 设备 计算 压力 ,在 使 用 静态 路 由 较 多 的 网 络 中 可 以 选择 性 能 稍 低 的 设备 。 

(3) 不 增加 设备 则 的 链 路 有 效 带 宽 占 用 , 即 在 链 路 上 可 以 节省 更 多 的 成 本 。 

(4) 提供 更 高 的 安全 性 。 网 络 管理 员 可 以 有 选择 地 在 设备 上 配置 静态 路 由 ,使 之 只 通 
过 某 些 特定 的 网 络 。 

同时 ,静态 路 由 还 具有 如 下 缺点 : 

(1) 因为 项 态 路 由 需要 配置 回程 路 由 ,所 以 网 络 管理 员 必 须 完 全 了 解 整 个 网 络 以 及 每 
台 设 备 间 的 连接 方式 ,以 正确 配置 每 台 设 备 。 

(2) 当 添 加 一 网 络 时 ,网 络 管理 员 必 须 在 所 有 相关 设备 上 手工 地 添加 到 此 网 络 的 路 巾 。 

(3) 对 于 大 型 网 络 大 量 使 用 静态 路 由 协议 是 不 合适 的 ,因为 配置 静态 路 由 选择 会 产生 
巨大 的 维护 成 本 。 


4.5.5 静态 路 由 协议 配置 实例 


下 面 以 信息 学 院 实 验 室 访 问 学校 图 书馆 为 例 , 从 需求 分 析 、 实 验 内 容 分 析 、 实 验 配 置 和 
实验 测试 4 个 方面 展示 静态 路 由 协议 的 配置 

1. 需求 分 析 

信息 学 院 实验 室 子 网 为 192. 168. 10.0/24, 信 息 学 院 的 路 由 器 为 R1, 工 科 楼 群 主 节点 
为 R2, 图 书馆 主 节点 为 R3, 数 据 库 子 网 为 172. 16. 16. 0/24, 信 息 学 院 与 工科 楼 群 主 节点 间 


的 子 网 为 10. 136. 10. 0/24. T REBE ET xa 5 FE HB TR HEC ex IBI BJ P 7j 10. 136. 15. 0/24， 
如 图 4-4 和 表 4-3 所 示 。 
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so/1:.124 30211 22A SO0/0/1: .2/24 S0/2/1: 3/24 


m A a pea 图 书馆 
SY = 10/136.15.0/24 ET AR3 


= 
= g aj : 
PEF 5L — 


路 由 器 R1 10/136.10.0/24 一 
id fa0/0: .254/24 
fa0/0: .254/24 WERI 
. EPAR 172.16.16.0/24 
| 192.168.10.0/24 
1/24 
-1/24 
信息 学 院 实验 数据 库 
室 主 机 PC1 Hi oS S2 


图 4-4 BEA PA HI BRAUN AH 1h E 


表 4-3 子 网 地 址 规划 


子 网 IP 子 网 掩 码 子 网 内 设备 名 称 
10. 136. 10.0 AID. 409, 209, 0 R1.R2 
10. 136. 15. 0 EU. ed. E03. D KZ.R3 
192. 168. 10. 0 Z0. 409. 509, 0 K1.PCIl 
172.16. 16.0 209. 2909. 299. 0 R3,52 


要 求 配置 静态 路 由 协议 ,使 得 全 网 连通 ,信息 学 院 实 验 室 主机 PCL 能 够 访问 图 书馆 数 
da FER A fr S2 。 


2. 实验 内 容 分 析 


根据 需求 ,需要 完成 的 实验 内 容 按照 基本 配置 .分析 协议 .配置 协议 .测试 协议 4 个 步骤 
执行 : 

(1) 配置 各 路 由 规 接 口 地 址 ,配置 实验 室 PC RAŽE TE RS ke A IP HHE, T eA HE A 
网 关 等 ,确保 下 连 链 路 连通 。 

(2) 分 析 静 态 路 由 协议 ,准确 判断 每 台 路 由 天 上 应 该 配置 哪些 路 由 ,注意 回程 路 由 的 
规划 。 

(3) 配置 静态 路 由 协议 ,测试 各 设备 间 的 连通 性 ,在 路 由 天 上 测试 连通 性 。 

(4) 测试 PC 与 Server 之 间 的 连通 性 ,确保 在 PC 上 使 用 ping 命令 能 够 连通 Server 数 
HJE JRE AF o 

3. 实验 配置 方法 

1) 基本 配置 

按照 图 4-4 示例 拓扑 图 连接 好 各 设备 ,然后 配置 路 由 兹 的 串口 地 址 与 快速 以 太 网 口 地 
址 ,其 中 接口 IP 地 址 和 子 网 掩 码 等 如 表 4-4 所 示 。 

表 4-4 各 设备 接口 地 址 


设备 名 称 接口 IP 地 址 je Ru 
R1 S 0/2/1 10.136. 10. 1 255. 255. 255.0 
R2 S 0/2/1 10. 136. 10. 2 255. 255. 255.0 


Ja 


b t 
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续 表 
设备 名 称 接口 IP 地 址 HE 
R2 S 0/0/1 10. 136. 15.2 255.255. 255.0 
R3 S 0/2/1 10. 136. 15. 3 255. 255. 255.0 
RI F0/0 192. 168. 10. 254 255. 255. 255.0 
R3 F0/0 172. 16. 16. 254 255. 255. 255.0 


以 R1 的 Serial 0/2/1 添加 IP 地 址 为 例 。 其 他 接口 方法 相同 . E ABA BESE YA , 


Rl(config) # int s0/2/1 
Rl(config- if) ip add 10.136.10.1 255.255.255.0 
Rl(config-if) # no shutdown 


注意 : 因为 串口 和 快速 以 太 网 口 为 物理 接口 , 软 认 情况 下 是 关闭 的 ,为 了 保持 UP 的 状 
态 ,应 用 命令 no shutdown 避免 其 状态 改 为 DOWN。 

配置 完成 后 ,可 以 通过 cdp 协议 查看 邻 拓 (show cdp neighbors) ,确认 是 否 按 照 拓 扑 图 
正确 连接 。 

在 RI 上 查看 邻居 表 


R1 # show cdp neighbors 
Capability Codes: R - Router, T - Trans Bridge, B - Source Route Bridge 
S — Switch, H - Host, I - IGMP, r - Repeater 


Device ID Local Interface Holdtme Capability Platform Port ID 
R2 Ser 0/2/1 140 RSI 2811 Ser 0/2/1 


上 述 结 果 中 ,由 Device ID 项 得 知 ,与 R1 相连 的 路 由 大 是 R2。 而 通过 查看 Local 
interface M (H Ej Jj Local Interface) 和 Port ID 项 ,可 以 得 知 ,R1 退 过 本 地 的 S 0/2/1 接口 
与 R2 的 S0/2/1 接口 相连 。 


R2 # show cdp nei 

(ARA NE) 

Device ID Local Interface Holdtme Capability Platform Port ID 
R3 Ser 0/0/1 160 RSI 2811 Ser 0/2/1 
R1 Ser 0/2/1 165 RSI 2811 Ser 0/2/1 


上 述 结 果 可 知 , 与 R2 相连 的 路 由 天 有 RI 和 R3, R2 通过 本 地 的 S 0/2/1 接口 与 RI 
的 S 0/2/1 接口 相连 ,R2 通过 本 地 的 S 0/0/1 Æ 0 5 R3 的 S0/2/1 接口 相连 。 


R3 # show cdp neighbors 

(BA A B NE) 

Device ID Local Interface Holdtme Capability Platform Port ID 
R2 Ser 0/2/1 179 RSI 2811 Ser 0/0/1 
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由 上 述 结果 可 知 , 与 R3 相连 的 路 由 器 有 R2。R3 通过 本 地 的 S0/271 接口 与 R2 的 
S 0/0/1 接口 相连 。 
接 下 来 是 配置 终端 主机 的 了 了 地址. 掩 码 以 及 网 关 , 如 表 4-5 所 示 。 


表 4-5 主机 IP 地 址 设置 


设备 名 称 IP 地 址 子 网 掩 码 默认 网 关 
PCI 192.168. 10. 1 255. 255. 255.0 192. 168. 10. 254 
S2 172.16. 16.1 255. 255. 255.0 172. 16. 16. 254 


信息 学 院 实验 室 主 机 PCI 配置 IP 地 址 
如 图 4-5 所 示 。 

2) JP TWICE HR UL DUE PM 

静态 路 由 分 析 的 原则 是 : 如 果 想 要 全 网 
连通 , 直 连 路 由 无 须 配置 , 非 直 连 的 路 由 均 需 | emo m rs 
要 配置 。 根 据 该 原则 ,对 上 述 实例 拓扑 中 每 D COMO 


Internet 协议 版 本 4 (TCP/IPv4) Ett 


FAS w): 
£1 A H Ar rn; e BO E B RRO E H AATA F : BAFI a): 
信 B T bc 路 由 fü RI: ihi p fe B 到 自动 获得 D 服务 器 地 赴 C) 
| | : ER. © 使 用 下 面 的 DNS RA esit Œ): 
10. 136. 15. 0/24、172. 16. 16. 0/24 的 两 条 首选 ms EOD: 
路 由 。 || | SR DNS BRZA): 


工科 楼 群 主 节点 路 由 器 R2. 需要 配置 到 ||| — romenneremo 
192. 168. 10. 0/24、172. 16. 16. 0/24 的 两 条 | 
路 由 。 

图 书馆 主 节点 路 由 器 R3: 需要 配置 到 E 4-5 PCI BER. IP EIE 
192. 168. 10. 0/24.10. 136. 10. 0/24 的 两 条 路 由 。 

3) 配置 静态 路 由 协议 

配置 静态 路 由 前 ,查看 路 由 表 ( 以 R1 为 例 ) 如 下 : 


R1 # show ip route 
Codes: C — connected, S — static, R - RIP, M - mobile, B - BGP 


(RARE NE) 


172.16.0.0/24 is subnetted, 1 subnets 
C 172.16.1.0 is directly connected, Serial0/2/1 
C 192.168.1.0/24 is directly connected, FastEthernet0/0 


可 以 发 现 最 后 两 行 信息 标记 为 C, 通 过 Codes 提示 可 知 ,C 表示 直 连 网 络 ,S 表示 静态 
路 由 。 

下 面 正 式 配 置 静 态 路 由 协议 ,由 上 面 分 析 可 知 ,Rl 需要 配置 到 10. 136. 15. 0/24, 
172. 16. 16. 0/24 的 两 条 路 由 ,在 全 局 模式 下 进行 配置 ,如 下 所 示 : 


Rl(config) ip route 10.136.15.0 255.255.255.0 10.136.10.2 
Blicontig) # ip route 172.16. 16. 0 255.255.255. 0 10. 136. 10.2 
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在 R1 上 再 次 查看 路 由 表 , 输 出 如 下 : 


R1 show ip route 

…( 部 分 内 容 省 略 ) 

10.136.0.0/24 is subnetted, 2 subnets 

C 10.136. 10.0 is directly connected, Serial0/2/1 

S 10.136. 15. 0 [1/0] via 10. 136. 10.2 

C 192.168.10.0/24 is directly connected, FastEthernet0/0 
S 172.16.16.0/24 [1/0] via 10.136.10.2 


接 下 来 ,配置 路 由 器 R2。 由 上 述 分 析 可 知 ,R2 需要 配置 到 192. 168. 10. 0/24,172. 16. 16. 0/24 
的 两 条 路 由 。 在 全 局 配置 模式 下 ,配置 如 下 : 


R2(config) # ip route 192.168.10.0 255.255.255.0 10.136.10.1 
R2(con£ig) # ip route 172. 16. 16. 0 255. 255. 255.0 172. 16. 2.3 


此 时 可 以 尝试 测试 设备 间 的 连通 性 。 尝 试 在 路 由 器 上 测试 连通 性 。 在 R1 上 使 用 ping 
命令 进行 测试 ,检查 R1 与 S2 是 否 连 通 。 
Ri # ping 172.16.16.1 // 测 试 与 数据 库 服务 硕 之 间 的 连通 性 


Type escape sequence to abort. 
Sending 5, 100 - byte ICMP Echos to 172.16.16.1, timeout is 2 seconds: 


Success rate is 0 percent (0/5) 


在 R3 上 使 用 ping 命令 进行 测试 ,检查 R3 5 PCI 是 否 连通 。 
R3 # ping 192.168.10.1 // 测 试 与 实验 室 主 机 之 间 的 连通 性 


Type escape sequence to abort. 
Sending 5, 100 - byte ICMP Echos to 192.168.10.1, timeout is 2 seconds: 


Success rate is 0 percent (0/5) 


nf UEM, 8 8 H9 25] 29... ,表明 网 络 不 连通 。 
冉 和 尝试 在 PC 上 测试 设备 的 连通 性 。 在 PCI E ping JlK A tr S2, 得 到 结果 如 下 ， 


C:\Documents and SettingsMAdministrator > ping 172.16.16.1 
Pinging 172.16.16.1 with 32 bytes of data: 

Request timed out. 

Request timed out. 

Request timed out. 

Request timed out. 


Ping statistics for 172.16.]16.1: 
Packets: Sent = 4, Received = 0, Lost = 4 (1005€ loss), 
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输出 为 Request timed out ,说 明 目 的 网 络 是 可 达 的 (reachable), 即 通 往 服务 器 S2 方向 
上 各 静态 路 由 配置 是 正确 的 。ICMP 应 答 包 能 够 到 达 服 务 需 S2, 但 是 PCI 并 没有 接收 到 从 
S2 返回 的 ICMP 应 党 包 。 其 原因 可 能 是 没有 配置 回程 (返程 ) 静 态 路 由 ,或 者 配置 回程 蒋 态 
路 由 信息 输入 有 错误 等 。 

在 图 书馆 服务 天 SZ 上 ping 信息 学 院 实 验 室 主机 PC1 得 到 结果 如 下 。 


C:\Documents and SettingsMAdministrator > ping 192.168.10.1 
Pinging 192.168.10.1 with 32 bytes of data: 

Reply from 172.16.16.254: Destination host unreachable. 
Reply from 172.16.16.254: Destination host unreachable. 
Reply from 172.16.16.254: Destination host unreachable. 
Reply from 172.16.16.254: Destination host unreachable. 


Ping statistics for 192.168.10.1: 
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), Approximate round trip times in milli 
- seconds: 


Minimum = Oms, Maximum = Oms, Average = 0ms 


此 时 输出 为 Destination host unreachable, H. ICMP 7H E53 H B cHBJ IX. 1h BH pv 2& E 
不 可 达 的 Cunreachable) 。 出 现 这 个 问题 可 能 是 因为 链 路 上 有 设备 并 没有 配置 通 往 PCI 网 
络 方 回 上 的 静态 路 由 。 两 个 结果 均 表 明 R3 缺少 通 往 PCI 所 在 网 络 的 路 由 ,所 以 人 3 Jf A5 I 
道 应 把 ICMP 应 答 包 交 付 给 哪 一 台 设 备 ,导致 发 往 PCI 所 在 网 络 的 包 会 被 R3 EF, 

静态 路 由 应 保证 来 路 和 回路 都 畅通 , 双 回 配置 。 下 面 在 人 R3 上 配置 缺少 的 静态 路 由 。 


R3(config)itip route 10.136.10.0 255.255.255.0 10.136.15.1 
R3(config) tip route 192.168.10.0 255.255.255.0 10.136.15.1 


至 此 ,各 路 由 器 与 各 终端 主机 的 静态 路 由 协议 已 配置 完成 。 

4) 实验 测试 

协议 配置 完成 后 ,现在 可 以 查看 各 中 由 此 的 路 由 表 , 检 查 全 网 的 路 由 是 否 都 在 路 由 
Aun, 

R1 的 路 由 表 如 下 。 


R1 # show ip route 

…( 部 分 内 容 省 略 ) 

10.136.0.0/24is subnetted, 2 subnets 

C 10.136.10.0is directly connected, Serial0/2/1 

B 10.136.15.0[1/0] via 10.136.10.2 

C 192.168. 10. 0/24 is directly connected, FastEthernet0/0 
S 172.16. 16. 0/24 [1/0] vaa 10. 136. 10. 2 


R2 的 路 由 表 如 下 。 
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R2 # show ip route 

.…( 部 分 内 容 省 略 ) 

10.136.0.0/24 is subnetted, 2 subnets 

C 10.136.10.0 is directly connected, Serial0/2/1 
C 10.136.15.0 is directly connected, Serial0/0/1 
S 192.168.10.0/24 [1/0] via 10.136.10.1 

S 172.16. 16. 0/24 [1/0] via 10.136. 15.2 


R3 的 路 由 表 如 下 。 


R3 # show ip route 

.… (部 分 内 容 省 略 ) 

10.136.0.0/24 is subnetted, 2 subnets 

S 10. 136. 10.0 [1/0] via 10. 136.15. 1 

C 10.136.15.0 is directly connected, Serial0/2/1 

S 192. 168. 10. 0/24 [1/0] via 10. 136. 15.1 

C 172.16.16.0/24 is directly connected, FastEthernet0/0 


接 下 来 测试 信息 学 院 实 验 室 PC ARBE 20s PETI A9 Ar HJ XEXH TE. fk PCI 使 用 ping 
命令 进行 测试 。 


C:\Documents and SettingsMAdministrator > ping 172.16.16.1 

Pinging 172.16.16.1 with 32 bytes of data: 

Reply from 172.16.16.1: bytes = 32 time = 18ms TTL = 253 

Obr PIS S ER) 

Ping statistics for 172.16.]168.1: 

Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), Approximate round trip times in milli 
- Seconds: 

Minimum - 18ms, Maximum - 18ms, Average - 18ms 


从 输出 可 知 ,发 送 了 4 个 包 , 接 收 了 4 个 包 , 技 包 率 为 0。 说 明 信 息 学 院 实 验 室 主机 
PC1 能 访问 图 书馆 服务 需 S2 ,中间 路 由 器 之 间 的 链 路 也 是 连通 的 。 

5) 实验 结果 分 析 

网 络 管理 员 通 过 配置 请 芒 路 由 ,可 以 人 为 地 指定 对 某 一 网 络 访 问 时 所 要 经 过 的 路 短 。 
在 网 络 结构 比较 简单 , 且 一 般 到 达 某 一 网 络 所 经 过 的 路 径 唯 一 的 情况 下 宜 采用 静态 路 由 。 

本 实例 中 ,信息 学 院 实验 室 主 机 访问 学 校 图 书馆 数据 库 服务 器 ,要 跨越 中 间 的 2 个 子 
网 ,加 上 新 闪 于 网 和 目的 子 网 , 共 4 个 网 络 。 经 过 裔 态 路 由 的 配置 ,实现 了 了 上述 访问 需求 。 
下 面 再 通过 路 由 表 看 实验 结果 ,以 信息 学 院 路 由 融 RI 为 例 。 


R1 # show ip route 


Obr PITE NE) 


10.136.0.0/24 is subnetted, 2 subnets 

C 10.136.10.0is directly connected, Serial0/2/1 

S 10.136.15.0[1/0] via 10. 136.10. 2 

C 192.168. 10.0/24 is directly connected, FastEthernet0/0 
S 172.16. 16. 0/24 [ 1/0] via 10. 135. 10.2 
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在 R1 的 输出 中 ,除了 2 条 下 连 路 由 之 外 ,多 了 2 条 以 S$ 开 头 的 信息 ,这 便 是 刚才 配置 
的 廊 态 路 由 ,全 网 4 个 子 网 部 在 路 由 表 中 ,说 明 路 由 带 R1 上 的 操作 成 功 完成 。 


4.6 默认 路 由 协议 与 配置 方法 


4.6.1 Stub 网 络 


Stub 网 络 (Stub Network) , X ntl Z& 9s Pd EA . 未 彬 网 络 ,是 指 仅 有 一 人 台 边 界 路 由 融 连 接 到 
外 面 的 其 他 子 网 ,或 者 仅 有 一 个 通路 连接 到 其 他 网 络 。 因 此 ,在 Stub 网 络 中 ,所 有 信息 都 由 
一 个 出 口 流 出 ,可 以 大 大 简化 网 络 配 置 。 在 Stub 网 络 中 ,一般 使 用 一 条 默认 路 由 指 回 外 网 ， 
如 图 4-6 中 ,信息 学院 路 由 大 A 和 图 书馆 路 由 融 B 所 连接 的 网 络 均 可 视 为 Stub 网 络 。 


Stub Network Stub Network 
uM 3 | 上 
10.136.6.0/24 -— MA | a 172.16.16.0/24 
: | [ ] 
T —7 
Ay Eg gp | i 
信息 学 院 ABIE 


图 4-6 Stub 网 络 示意 图 
学 校 校园 网 、 企 业 网 .各 园区 网 每 一 般 和 都 只 有 一 人 台 边 界 路 由 融 , 一 条 通路 连接 互联 网 ,这 
样 的 网 络 都 是 Stub 网 络 ,在 边界 路 由 天 都 需要 配置 一 条 鸭 认 路 由 指 回 互联 网 。 
4.6.2 默认 路 由 概述 


BA V ER FH Cdefault routing) 实 际 上 是 一 种 特殊 的 静态 路 由 , 指 的 是 当 路 由 表 中 与 数据 包 
的 目的 子 网 之 间 没 有 匹配 的 路 由 条 目 时 ,路 由 天 能 够 选择 该 款 认 路 由 做 出 转发 决定 。 如 宁 
没有 配置 默认 路 由 ,那么 目的 子 网 地 址 在 路 申 表 中 没有 匹配 的 路 由 对 目 的 那些 数据 包 将 被 
直接 丢弃 ,并 反馈 ICMP 目的 不 可 达 的 消息 。 换 言 之 ,可 以 认为 默认 路 由 是 保底 用 的 ,其 他 
路 由 条 目 都 匹配 不 了 时 , 才 选 择 默认 路 巾 。 


4.6.3 默认 路 由 与 路 由 表 
默认 路 由 的 配置 方法 和 静态 路 由 是 一 致 的 ,都 是 在 全 局 配置 模式 下 ,使 用 相同 的 配置 


命令 : 


Rl1(config)# ip route 0.0.0.0 0.0.0.0 s0/2/1 


^f fi] EJE s SA A ift HB. E KY 9d A Hb RIT Ped dE 3&0. 0. 0. 0 ,表示 任意 网 络 均 可 以 
访问 。 
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配置 完 默 认 路 由 后 ,查看 路 由 表 ,输出 如 下 : 


R1 show ip route 


(部 分 内 容 省 略 ) 

E: 10.136.10.0 is directly connected, Serial0/2/1 

C 192. 168. 10. 0/24 is directly connected, FastEthernet0/0 

S* . 0.0.0.0/0 [1/0] via 10.136.10.232 // 默 认 路 由 


注意 到 该 路 由 表 输 出 中 最 下 面 有 一 行 以 S* 开头 ,这 个 路 由 条 目 就 是 默认 路 由 。 
此 时 ,在 主机 PC1 上 尝试 ping IK $& S2, 有 结果 如 下 。 


C:\Documents and Settings\Administrator > ping 172.16.16.1 

Pinging 172.16.16.1 with 32 bytes of data: 

Reply from 172.16.16.1: bytes = 32 time = 19ms TIL = 125 

(部 分 和 内容 省 略 ) 

Ping statistics for 172.16.16.1: 

Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), Approximate round trip times in milli 
- Seconds: 


Minimum = 18ms, Maximum = 19ms, Average = 18ms 


4.7 浮动 静态 路 由 及 其 配置 方法 


4.7.1 序 动静 态 路 由 概述 
浮动 静态 路 由 也 是 一 种 特殊 的 静态 路 由 , 它 用 于 路 由 器 到 达 目 的 子 网 有 多 个 出 口 的 环 


境 , 可 以 进行 路 由 元 余 以 提高 网 络 可 靠 性 。 


浮动 前 人 态 路 由 是 通过 配置 一 个 比 主 路 由 的 定 理 距离 更 大 的 廊 态 路 由 ,来 保证 当 网 络 拓 


扑 结 构 或 者 链 路 状态 发 生变 化 守 致 主 路 由 失效 时 ,提供 备份 路 由 ,从 而 实现 链 路 的 备份 。 值 
得 注意 的 是 ,当主 路 由 存在 的 情况 下 ,备份 路 由 不 会 出 现在 路 由 表 中 。 


4.7.2 浮动 静态 路 由 的 配置 方法 
在 全 局 配置 模式 下 ,可 以 配置 浮动 路 由 ,命令 语法 如 下 : 


Router(config) # ip route [destination network] [mask] [exit interface|next - hop address] 


[administrative distance] 


也 就 是 在 静态 踏 由 配置 的 命令 后 面 ,启用 省 理 距离 (AD) 这 个 参数 ，。 
例如 : 


Router( config) # ip route 192.168.1.0 255.255.255.0 172.16.3.1 10 
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这 条 命令 表明 ,到 达 网 络 号 为 192. 168. 1. 0. E R3 23 255.255. 255.0 的 目的 子 网 的 下 一 
跳 路 由 器 地 址 为 172. 16. 3. 1 ,这 条 链 路 的 管理 距离 为 10, 


4.7.3 浮动 静态 路 由 配置 实例 


下 面 从 需求 分 析 、 实 验 内 容 分 析 .实验 配置 方法 和 实验 结果 分 析 四 个 方面 进行 浮动 静态 
路 由 配置 的 实例 展示 。 

1) 需求 分 析 

有 3 台 路 由 器 ,2 个 主机 ,拓扑 图 如 图 4-7 所 示 , 其 中 R1 和 R? 之 间 有 2 条 链 路 ,一 条 以 
太 网 交叉 线 连 接 , 另 一 条 广域网 串口 连接 。 要 求 使 用 静态 路 由 协议 使 得 全 网 连通 ,R1 和 R2 
之 间 配 置 浮动 静态 路 申 以 提供 路 由 元 余 , 数 据 包 沿 着 浮动 静态 路 由 链 路 传送 。 


浮动 静态 路 由 
fa0/l 172.16.3.0/24 fa0/]l 
Cg ”一 172.16.2.0/24 
F at." — 


50/2/1 
172.16.1.0/24 


S0/2/1 SU/Ul ^ sop 


图 4-7 浮动 静态 路 由 实验 拓扑 图 
网 络 中 各 子 网 规划 如 表 4-6 所 示 。 
表 4-6 子 网 规划 


子 网 IP T ie us 子 网 内 设备 名 称 
172. 16.1.0 255. 255. 255.0 R1,R2 
172.16. 2.0 255. 255. 255.0 R2,R3 
192. 168. 1.0 255. 255. 255.0 R1,PC1 
192. 168. 2. 0 255. 255. 255. 0 R3,PC2 
172.16. 3. 0 255. 255. 255.0 R1,R2 


2) 实验 内 容 分析 

CD 基本 配置 : 配置 各 路 由 需 接 口 地 址 ,配置 PC 的 IP 地 址 、 掩 码 以 及 网 关 。 

(2) 配置 静态 路 由 ,测试 设备 间 的 连通 性 ,在 路 由 硕 上 测试 连通 性 。 

(3) 测试 各 PC 之 间 的 连通 性 ,以 PCI 至 PC2 的 连通 性 为 例 , 在 PCI 使 用 ping 命令 进 
行 测 试 。 

(4) 配置 完成 后 ,查看 路 由 表 , 配 置 浮动 静 仿 路由。 

(5) 实验 测试 ,在 PCI 上 使 用 tracert 命令 来 追踪 数据 包 经 过 的 路 径 。 

3) 实验 配置 方法 

(1) 路 由 器 和 主机 的 基本 配置 。 

按照 图 4-7 示例 拓扑 图 连接 好 各 设备 ,然后 配置 串口 地 址 与 快速 以 太 网 口 地 址 ,其 中 接 
O IP 地 址 和 掩 码 如 表 4-7 所 示 。 
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表 4-7 路 由 器 IP 地 址 规划 


设备 名 称 接口 IP 地 址 j& 83 
R1 S 0/2/1 172.16.1.1 255. 255. 255.0 
R2 S 0/2/1 172.16. 1.2 255.255. 255.0 
R2 S 0/0/1 172.16.2.2 255.255. 255.0 
R3 S 0/2/1 172. 16.2.3 255. 255. 255. 0 
R1 F0/0 192. 168. 1. 254 255. 255. 255.0 
R3 F0/0 192. 168. 2. 254 255.255. 255.0 


以 路 由 器 R1 BJ Serial 0/2/1 接口 配置 一 个 IP 地 址 为 例 , 其 他 接口 的 配置 方法 相同 ,此 
Ab ARA YE. 


R1(config) # int s0/2/1 
Ril(config-if) # xp add 172.16.1.1 255. 255. 255.0 
Rl(config-if) # no shutdown 


注意 : 因为 串口 和 快速 以 太 网 口 为 物理 接口 ,默认 情况 下 是 关闭 状态 ,为 了 保持 UP 的 
状态 ,应 用 no shutdown 命令 避免 其 状态 改 为 DOWN, 

配置 完成 后 ,可 以 通过 cdp HNA A R ji (show cdp neighbors) ,确认 是 否 按 照 拓 扑 图 
正确 连接 。 

在 R1 上 查看 邻居 表 


R1 show cdp neighbors 
Capability Codes: R - Router, T - Trans Bridge, B - Source Route Bridge 
S — Switch, H - Host, I - IGMP, r - Repeater 


Device ID Local Interface Holdtme Capability Platform Port ID 
R2 Ser 0/2/1 140 RSI 2811 Ser 0/2/1 


上 述 结 果 中 ,由 Device ID 项 得 知 , 与 R1 fH YE HJ Eit HH $8 A R2. m 38 zd fr Local 
interface 项 (简写 为 Local Interface) 4I Port ID 项 可 以 得 知 ,R1 38 EARS JA 83 S 0/2/1 接口 与 
R2 Hj S 0/2/1 接口 相连 。 


R2 # show cdp neighbors 

(部 分 内 容 省 上 略 ) 

Device ID Local Interface Holdtme Capability Platform Port ID 
R3 Ser 0/0/1 160 RSI 2811 Ser 0/2/1 
R1 Ser 0/2/1 165 RSI 2811 Ser 0/2/1 


上 述 结果 可 知 ,与 R2 相连 的 路 由 器 有 Rl1 和 R3. R2 通过 本 地 的 S 0/2/71 接口 与 RI 
的 S 0/2/1 接口 相连 ,R2 通过 本 地 的 S 0/0/1 接口 与 R3 的 S0/2/1 相连 。 
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在 R3 上 查看 邻居 表 : 

R3 # show cdp neighbors 

(部 分 内 容 省 略 ) 

Device ID Local Interface Holdtme Capability Platform Port ID 
R2 Ser 0/2/1 179 RSI 2811 Ser 0/0/1 


由 上 述 结果 可 知 , 与 R3 相连 的 路 由 器 有 R2, R3 通过 本 地 的 S 0/2/1 接口 与 R2 的 S 
0/0/1 接口 相连 。 
接 下 来 配置 PC 的 IP 地址 、 掩 码 以 及 网 关 , 如 表 4-8 所 示 。 


表 4-8 主机 IP 地 址 设置 


设备 名 称 IP 地 址 yE 默认 网 关 
PCI 192.168. 1. 1 255. 255. 255,0 192. 168. 1. 254 
PC2 192.168. 2. 1 255.255. 255.0 192. 168. 2. 254 


在 PCI 配置 IP 地 址 如 图 4-8 所 示 。 


Internet HHS (TCP/IP) 尾 性 i E ?| x| 


* | 


ARRA der b Lhge , WIRT ER BabisUKEU Ir RE. Cd, 
Imm e M PES SUAISISBEETHSIIBU IP XE. 


(自动 获得 IP 地 址 (D 
ts EATER IP 地 址 [&): 
IP Hi: 192 .188 . 1 . 1 


子 网 醒 码 U): [ 255 .255 .255 . 0 


默认 网 关 QD : 192 .188 . 1 .254 


C Bais INS Bey sadi) 

(« HATER) ms 服务 器 地 址 ED: 
首选 DRS Res: 
备用 DNS ipSa lA): 


图 4-8 PC1 的 卫 地 址 设置 


(2) 配置 静态 路 由 。 
在 完成 了 了 上述 配置 后 , 接 下 来 的 任务 是 配置 静态 路 由 ,并 在 路 由 状 上 测试 设备 间 的 连通 
性 。 在 配置 静态 路 由 前 ,查看 路 由 表 (R1l 为 例 ) 如 下 。 


R1 # show ip route 
Codes: C —- connected, S - static, R - RIP, M - mobile, B - BGP 
(部 分 内 容 省 略 ) 
172.16.0.0/24 is subnetted, 1 subnets 
C 172.16.1.0 is directly connected, Serial0/2/1 
E 192.168.1.0/24 is directly connected, FastEthernet0/0 


NA V5 EH 52 28 13 7N 53 SC 
可 以 发 现 最 后 两 行 信息 标记 为 C, 通 过 Codes 提示 可 以 得 知 ,C 表示 直 连 网 络 ,S 表示 
下 面 正 式 配 置 静态 路 由 。 路 巾 融 配置 静态 路 由 ,要 求 配置 与 本 设备 不 直接 相连 的 所 有 
网 络 的 路 由 。 先 做 如 下 分 析 : 例如 图 4-7 ,路 由 天 R1 与 172. 16. 1. 0/24、192. 168. 1. 0/24 这 
两 个 网 络 直 连 ,不 需要 另外 配置 。 但 是 R1 与 172. 16. 2. 0/24、192. 168. 2. 0/24 不 直接 相 
XE ,因此 需要 在 RI 配置 到 172. 16. 2.0/24、192. 168. 2.0/24 的 静态 路 由 。 


Bil(config)it ip route 172.16.2.0 255.255.255.0 172.16.1.2 
Ri(config) # ip route 192.168.2.0 255.255.255.0 172. 16. 1.2 


HEA EH MUF. 


R1 # show ip route 

Codes: C — connected, S 一 static, R — RIP, M - mobile, B - BGP 
(部 分 内 容 省 略 ) 

172.16.0.0/24 is subnetted, 2 subnets 

172.16.1.0 is directly connected, Serial0/2/1 

142 15 2 [1/0] via 172.16. 1.2 

192.168.1.0/24 is directly connected, FastEthernet0/0 
192.168.2.0/24 [1/0] vaa 172. 15.1.2 


n c2 Uu OO 


接 下 来 ,配置 路 由 器 R2.R3: 路 由 器 R2 5j 172. 16. 1. 0/24,172. 16. 2. 0/24 直 连 ,与 
192. 168. 1. 0/24,192. 168. 2. 0/24 均 不 直 连 ,因此 应 对 后 痢 两 个 网 络 配置 静态 路 由 ,配置 如 下 。 


R2(config)it ip route 192.168.1.0 255.255.255. 0 172.16.1.1 
R2(config) # ip route 192.168.2.0 255.255.255.0 172.16.2.3 


JE mr np LL ZEB IBByXEHTE. SAAE A H SR D DXYEGH TE. TE R1 上 使 用 ping 
命令 进行 测试 ,检查 RI 与 PC2 是 否 连 通 。 
R1 # ping 192.168.2.1 


Type escape sequence to abort. 
Sending 5, 100 - byte ICMP Echos to 192.168.2.1, timeout is 2 seconds: 


Success rate is 0 percent (0/5) 

在 R3 上 使 用 ping 命令 进行 测试 ,检查 R3 与 PCI 是 否 连通 。 
R3 ping 192.168.1.1 

Type escape sequence to abort. 


Sending 5, 100 - byte ICMP Echos to 192.168.1.1, timeout is 2 seconds: 


Success rate is 0 percent (0/5) 
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可 以 发 现 , 两 个 输出 均 为 ... ,表明 网 络 不 连通 。 
上 髓 尝试 在 PC 上 测试 设备 的 连通 性 。 在 PCI 上 ping PC2 ,得 到 结果 如 下 。 


C:\Documents and Settings\Administrator > ping 192.168.2.1 
Pinging 192.168.2.1 with 32 bytes of data: 

Request timed out. 

Request timed out. 

Request timed out. 

Request timed out. 


Ping statistics for 192.168.2.1: 
Packets: Sent = 4, Received = 0, Lost = 4 (100% loss), 


输出 为 Request timed out. iX BH 9] 48 Z& nJ 35 BJ Creachable) , 即 通 往 PC2 77 I8] E 4 Hf x 
路 由 配置 是 正确 的 。ICMP 应 答 包 能 够 到 达 主 机 PC2 ,但 是 PCI 并 没有 接收 到 从 PC2 返回 
的 ICMP 应 答 包 。 其 原因 可 能 是 没有 配置 回程 静态 路 由 ,或 者 配置 回程 静态 路 由 信息 有 和 输 
AGB VAR 

在 PC2 上 ping 主机 PCI 得 到 结果 如 下 。 


C:\Documents and SettingsMAdministrator > ping 192.168.1.1 
Pinging 192.168.1.1 with 32 bytes of data: 


Reply from 192.168.2.254: Destination host unreachable. 
Reply from 192.168.2.254: Destination host unreachable. 
Reply from 192.168.2.254: Destination host unreachable. 
Reply from 192.168.2.254: Destination host unreachable. 


Ping statistics tor 192.168. 1.1: 
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), 
Approximate round trip times in milli- seconds: 


Minimum = Oms, Maximum = Oms, Average = 0ms 


此 时 输出 为 Destination host unreachable。 说 明 网 络 是 不 可 达 的 (Cunreachable)。 出 现 
这 个 问题 可 能 是 因为 链 路 上 有 设备 并 没有 配置 通 往 PC1 网 络 方 问 上 的 静态 路 由 。 两 个 结 
果 均 表明 R3 缺少 通 往 PCI 所 在 网 络 的 路 由 ,所 以 R3 并 不 知道 应 把 ICMP 应 答 包 交付 给 哪 
一 台 设 备 ,导致 发 往 PCI 所 在 网 络 的 包 会 被 R3 EF. 

静态 路 申 应 保证 来 路 和 回路 畅通 , 双 癌 配置 。 下 面 在 R 人 3 上 配置 缺少 的 静态 路 由 。 


B3(config) # ip route 192.168.1.0 255.255.255.0 172.16.2.2 
R3(config) # ip route 172. 16. 1. 0 255.255.255. 0 172.16.2.2 


至 此 各 路 由 天 与 各 PC ODBOE EAR. AA EHI Arh HARA P. 
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R1 # show ip route 


(部 分 内 容 省 略 ) 
172.16.0.0/24 is subnetted，2 subnets 


C 172.16.1.0 is directly connected, Serial0/2/1 

S 172.16.2.0 [17/0] via 172. 16.1.2 

C 192.168.1.0/24 is directly connected, FastEthernet0/0 
S 192.168.2.0/24 [1/0] via 172. 16. 1.2 


R2 # show ip route 


(部 分 内 容 省 略 ) 
172.16.0.0/24 is subnetted, 2 subnets 


C 172.16.1.0 is directly connected, Serial0/2/1 
C 172.16.2.0 is directly connected, Serial0/0/1 
S 192.168.1.0/24 [1/0] via 172.16.1.1 

S 192.168.2.0/24 [1/0] via 172.16.2.3 

在 R3 上 查看 路 由 表 : 


R3 # show ip route 

(部 分 内 容 省 略 ) 

172.16.0.0/24 is subnetted, 2 subnets 

172. 16.1.0 [170] via 172.-16.2.2 

172.16.2.0 is directly connected, Serial0/2/1 
192.168.1.0/24 [1/0] via 172.16.2.2 

192.168.2.0/24 is directly connected, FastEthernet0/0 


Ce UC) C) Un 


(3) 连通 性 测试 。 
对 各 PC 之 间 的 连通 性 进行 验证 ,以 PCI 至 PC2 的 连通 性 为 例 , 在 PCI 上 使 用 ping 命 


令 进行 测试 . 


C:\Documents and SettingsMAdministrator > ping 192.168.2.1 
Pinging 192.168.2.1 with 32 bytes of data: 
Reply from 192. 155.2. 1: bytes = 34 time = 18ms TIL = 253 
Reply from 192. 168. 2.1: bytes = 32 time = 18ms TIL = 253 
Reply from 192.168.2.1: bytes = 32 time = 18ms TIL = 253 
Reply from 192.168.2.1: bytes = 32 time = 18ms TTL = 253 
Ping statistics for 192.168.2.1: 

Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), 
Approximate round trip times in milli- seconds: 

Minimum - 18ms, Maximum - 18ms, Average - 18ms 


从 输出 可 知 ,发 送 了 4 个 包 , 接 收 了 4 个 包 , 丢 包 率 为 0,PC1 至 PC2 连通 。 
(4) 配置 浮动 拜 态 路 由 。 
上 述 配 置 完成 后 ,连接 R1 的 fa0/1 接口 和 R2 的 fa0/1 接口 ,设置 好 IP 地 址 如 表 4-9 
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表 4-9 路 由 器 以 太 网 接口 IP 地 址 配置 


设备 名 称 接口 IP 地 址 
RI FastEthernet 0/1 172. 16.3.1 
R2 FastEthernet 0/1 172. 16.3.2 


配置 IP 地 址 的 命令 如 下 : 


Ri (config) # int fa 0/1 
Bllcontfig-3£) 4 ip add 172. 16.3.1 255. 255. 255.0 
Ri(config- if) # no shutdown 


R2(config) # int fa 0/1 
E2locantig-3£5) # ip add 172. 06. 31. 2 255.255.255.0 
R2(config-if) # no shutdown 


RAE R1, R2 上 配置 浮动 静态 路 由 : 


Rl(config) # ip route 0.0.0.0 0.0.0.0 172.16.3.2 10 
R2(config) # ip route 192.168.1.0 255.255.255.0 172.16.3.1 10 


R1 # show ip route 


(部 分 内 容 省 略 ) 


172.16.0.0/24 is subnetted, 1 subnets 
C 172.16.1.0 is directly connected, Serial0/2/1 
C 172.16.3.0 is directly connected, FastEthernet0/1 
(m 192.168.1.0/24 is directly connected, FastEthernet0/0 
S*0.0.0.0/0 [1/0] via 172. 16. 4-2 


R3 # show ip route 

(部 分 内 容 省 略 ) 

172.16.0.0/24 is subnetted, 2 subnets 

172.16. 1.0 [1/0] via 172.16. 2.2 

172.16.2.0 is directly connected, Serial0/2/1 
192.168. 1. 0/24 [1/0] via 172.16.2.2 

192.168.2.0/24 is directly connected, FastEthernet0/0 


eO uo uU 


A BUE ZR EL Y AES PRUIB ES TELE AES EH 2T DC. Hh ALTE PIER eU 


采用 shutdown 命令 关闭 R2 上 的 S 0/2/1 接口 ,模拟 主 链 路 失效 。 


R2(config) # int s0/2/1 
R2(config-if) # shutdown 


2990. 209. 299. 0 
499. 299. 299. 0 
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从 理论 上 可 知 ,当主 链 路 失效 时 ,元 余 的 浮动 静态 路 由 应 该 被 写 和 人 路 由 表 , 成 为 新 的 主 
路 由 。 然 后 再 次 在 RI 上 查看 路 由 表 : 


R1 show ip route 


(部 分 内 容 省 略 ) 


172.16.0.0/24 is subnetted, 1 subnets 
C 172.16.3.0 is directly connected, FastEthernet0/1 
192.168.1.0/24 is directly connected, FastEthernet0/0 
S+ 0.0.0.0/0 [10/0] via 172.16.3.2 


在 R3 上 查看 路 由 表 : 


R3 # show ip route 

(GBA VIRES) 

172.16.0.0/24 is subnetted, 2 subnets 

172.16.2.0 is directly connected, Serial0/2/1 

172.16. 3-0 [1/0] via 072-16. 3-2 / l'TÉ VER S dH EH 
192.168.2.0/24 is directly connected, FastEthernet0/0 

192. 168.1. 0/24 [1/0] via 172.15. 3.2 


e C UO A 


可 以 看 到 ,上 面 最 底下 的 路 由 条 目 已 经 蔡 换 成 了 元 余 的 译 动静 态 路 由 。 为 了 进一步 确 
认 数 据 包 到 底 走 的 是 不 是 元 余 链 路 ,可 以 使 用 tracert 命令 来 验证 。 
(5) Æ PC1 上 使 用 tracert 命令 来 追踪 数据 包 经 过 的 路 径 。 


C:\Documents and SettingsMAdministrator > tracert -d 172.16.2.3 


Tracing route to 172.16.2.3 over a maximum of 30 hops 


1 1 ms « ] ms <l ms 192.168.1.254 
2 « 1 ms <1 ms «1ms 172.16.3.2 
3 14 ms 13 ms 13 ms  172.16.23.3 


Trace complete. 


通过 上 面 的 结果 可 以 看 出 ,数据 包 是 沿 着 172. 16. 3. 0 链 路 传送 的 ,说 明之 前 配置 的 备 
份 链 路 已 经 生效 。 

4) 实验 结果 分 析 

浮动 静态 路 由 配置 完成 后 ,在 R1 上 查看 路 由 表 , 结 果 如 下 : 


R1 # show ip route 
(部 分 和 内容 省 略 ) 

172.16.0.0/24 is subnetted, 1 subnets 
E 172.16.1.0 is directly connected, Serial0/2/1 
172.16.3.0 is directly connected, FastEthernet0/1 
192.168.1.0/24 is directly connected, FastEthernet0/0 
mx 0.0.0.0/0 [1/0] via 1172.15.12 


ü UC 
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在 R2 上 查看 路 由 表 , 结 来 如 下 : 


R2 3 show ip route 

(部 分 内 容 省 略 ) 

172.16.0.0/24 is subnetted, 3 subnets 

172.16.1.0 is directly connected, Serial0/2/1 
172.16.3.0 is directly connected, FastEthernet0/1 
172.16.2.0 is directly connected, Serial0/0/1 
192.168. 1. 0/24 [1/0] via 172.16.1.1 
192.168.2.0/24 [1/0] via 172.16.2.3 


uy uU Cc 0 OG 


nf LL A BUB ZR VEL Y A PRIBL IS ELBU PE 2E BS PE TH E CH n BUE E He Pu DL E E 
由 没有 上 断 开 的 情况 下 ,配置 好 的 这 条 路 由 作为 元 余 路 由 ,是 不 会 浮 ?” 上 来 的 。 
紧 接着 ,通过 shutdown 命令 关闭 R2 上 的 s0/2/1 接口 ,模拟 主 链 路 失效 。 


R2(config) # int s0/2/1 
R2(config- if) # shutdown 


FA Jc AE A HE FH K ,仔细 观察 路 由 条 目的 变化 。 
在 Rl1 上 查看 路 由 表 信 息 ,结果 如 下 : 


R1 # show ip route 
(部 分 内 容 省 略 ) 
172.16.0.0/24 is subnetted，1 subnets 
C 172.16.3.0 is directly connected, FastEthernet0/1 
C 192.168.1.0/24 is directly connected, FastEthernet0/0 
S+ 020.0. 0/0 [10/0] via 172.16. 5.2 


在 R2 上 查看 路 由 表 信 息 ,结果 如 下 : 


R2 # show ip route 

(部 分 内 容 省 略 ) 

172.16.0.0/24 is subnetted, 2 subnets 

172.16.3.0 is directly connected, FastEthernet0/1 
172.16.2.0 is directly connected, Serial0/0/1 
192.168. 1.0/24 [10/0] via 172.16.3.1 
192.168. 2. 0/24 [1/0] via 172.16.2.3 


uo ux 0 


根据 路 由 表 , 不 难 发 现 , 配 置 好 的 管理 距离 为 10 FARSCA ERT. 
R1 路 由 雪上 的 浮动 静态 路 由 结 采 : 


S*  0.0.0.0/0 [10/0] via 172.16.3.2 
R2 路 由 表 上 的 浮动 静态 路 由 结果 : 


S 192.168.1.0/24 [10/0] via 172. 16.3.1 
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4.8 ”请 误 检测 与 排 语 技巧 


下 面 列 出 几 类 常见 错误 ,分 析 产 生 错 误 的 原因 ,并 给 出 有 效 的 排 错 方法 。 
4.8.1 网 络 不 通 


网 络 不 通 是 初学 者 经 常 遇 到 的 问题 ,产生 该 问题 的 原因 很 多 ,在 路 由 器 上 显示 网 络 不 通 
的 结果 主要 有 两 种 : U. U. U 或 ...。 比 如 ,在 静态 路 由 协议 实验 过 程 中 ,在 信息 学 院 中 由 费 
R1 上 ping 图 书馆 数据 库 服务 器 172. 16. 16. 1 时 有 如 下 结果 。 


R1 # ping 172.16.16.1 


Type escape sequence to abort. 

Sending 5, 100- byte ICMP Echos to 172.16.16.1, timeout is 2 seconds: 
U.U.U 

Success rate is 0 percent (0/5) 


思科 路 由 器 中 ,U 代表 目标 不 可 达 , 点 (. ) 表 示 超 时 ,而 感叹 号 (1) 表 示 成 功 。 只 有 显示 


达 或 者 超时 ,出 现 这 种 问题 的 原因 多 样 , 比 较 难 以 判断 问题 所 在 。 

为 了 确认 问题 所 在 ,可 以 在 信息 学 院 实 验 室 的 PC1 上 ping 数据 库 服 务 右 S2 的 
172. 16. 16.1 ,可 能 出 现 Destination host unreachable 和 Request timed out 两 种 情况 ,具体 
分 析 如 下 。 

1. Destination host unreachable 

在 PC1 上 ping 服务 器 172.16. 16. 1 时 得 到 如 下 结果 。 


C:\Documents and SettingsMAdministrator > ping 172.16.16.1 


Pinging 172.16.16.1 with 32 bytes of data: 
Reply from 172.16.1.254: Destination host unreachable. 
Gr VALE PR) 


Ping statistics for 172.16.16.1: 
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), 
Approximate round trip times in milli- seconds: 


Minimum = Oms, Maximum = Oms, Average = 0ms 


出 现 上 述 结果 可 能 是 因为 在 R1、R2 上 配置 通 往 172. 16. 16.0 方向 (去 程 ) 上 各 静态 路 
由 时 配置 错误 所 致 ,数据 包 无 法 到 达 目 的 主机 ,从 本 地 网 关 返 回 ICMP 的 目的 不 可 达 消 息 。 
此 时 ,应 分 析 各 人 台 路 由 融 应 该 配置 哪些 路 由 ,并 仔细 检查 静态 路 由 协议 配置 是 否 有 销 , 可 以 
通过 show ip route 查看 路 由 表 ,检查 是 否 正 确 。 
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2. Request timed out 
在 PC1 上 ping 服务 器 172.16. 16. 1 时 得 到 如 下 结果 。 


C:\Documents and Settings\Administrator > ping 172.16.16.1 
Pinging 172.16.16.1 with 32 bytes of data: 
Request timed out. 
Request timed out. 
Request timed out. 
Request timed out. 
Ping statistics for 192. 16.16.1: 
Packets: Sent = 4, Received = 0, Lost = 4 (100% loss), 


上 述 绪 果 表明 目的 网 络 是 可 达 的 ,也 就 是 通 往 172.16. 16. 0 77 m CA EO B A TH s ett HH 
配置 正确 ,ping 的 包 能 够 到 达 主 机 172. 16. 16. 1 ,但 在 回程 时 出 错 。 出 现 这 个 结果 可 能 是 因 
为 在 R2、R3 上 没有 配置 回程 静态 路 由 ,或 者 回程 路 由 配置 错误 所 致 ,应 仔细 检查 配置 是 否 
出 销 。 可 以 通过 show ip route 查看 路 由 表 ,并 检查 是 否 正 确 。 


4.8.2 静态 路 由 排 销 思 路 


4. 5.5 节 介绍 了 当 在 数据 源 端 路 由 器 上 配置 完 静 态 路 由 协议 之 后 , 因 没 有 配置 回程 路 
Rd ping 不 通 ; 如 果 配 置 了 回程 路 由 ,在 测试 的 时 候 如 果 还 发 现 网 络 ping 不 通 , 则 
说 明 实 验 过 程 中 还 有 些 地 方 存在 错误 。 除 了 上 述 问 题 及 解决 方法 外 ,本 节 详 细 归 纳 了 一 些 
基本 的 排 错 思 路 ,希望 对 初学 者 有 所 帮助 。 


基础 错误 对 于 很 多 初学 者 而 言 是 经 常 发 生 的 ,下 面 总 结 一 些 常 见 的 基础 错误 : 

(D 拓扑 搭建 。 实 验 室 的 设备 已 经 固定 在 机 柜 里 ,路 由 器 的 串口 线 是 固定 安装 好 的 , 除 
此 之 外 的 其 他 所 有 线 都 没有 连接 ,需要 同学 们 有 目 己 连接 ,如 果 接 口 连接 错误 ,不 论 你 后 面 怎 
么 按 要 求 配置 ,结果 都 是 销 的 。 

(2) 路 由 器 接口 配置 。 接 口 配置 虽然 简单 ,但 需要 注意 的 是 ,路 由 器 的 接口 默认 情况 下 
是 关闭 的 ,需要 在 接口 模式 下 使 用 no shutdown 激活 物理 接口 ; 此 外 ,如 果 两 台 路 由 器 的 两 
个 接口 直 连 , 想 要 使 接口 处 于 双 UP 状态 ,还 要 求 同 一 链 路 的 这 两 个 接口 要 配置 在 同一 个 子 
子 网 掩 码 必 须 相 同 , 且 这 两 个 接口 必须 配置 不 同 的 IP 地址。 这 一 点 看 似 人 简单 ,实际 操作 

过 程 中 ,尤其 是 分 组 操作 ,每 位 同学 分 别 配置 一 台 路 由 需 时 ,经 常 有 同学 忘记 no shutdown. 

d M enam [ul ,或 者 多 个 接口 配置 相同 的 IP 地 址 等 。 可 以 在 特权 模式 下 通过 使 用 如 下 命令 
查看 接口 状态 : 


Routerit show ip interface brief, 或 Router # sh ip int b 


在 非特 权 模 式 下 ,采用 do show 命令 即 可 。 如 果 接 口 状态 显示 为 双 UP 状态 , 则 配置 正 
5s 否则 ,请 检查 是 否 激活 接口 子 网 掩 码 .IP 地 址 等 。 
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(3) 直 连 链 路 连通 性 。 当 直 连 的 两 个 接口 配置 完 之 后 ,就 可 以 测试 连通 性 了 ,看 相互 之 
间 是 否 能 ping 通 。 如 果 能 ping 通 , 则 配置 正常 ; 如 果 ping 不 通 , 则 两 端 使 用 sh ip int b 命 
令 查 看 接口 状态 ,是 否 双 UP, 是 否 在 同一 个 子 网 配置 不 同 IP 地 址 。 经 过 仔细 检查 ,这 些 都 
没 问 题 ， Pou 但 就 是 直 连 链 路 ping 不 通 。 这 个 时 候 需 要 在 特权 模式 下 使 用 show cdp 
neighbor 命令 ,核对 各 自 的 邻居 接口 是 否 匹 配 。 没 错 , 上 面 的 问题 ,很 可 能 就 在 这 里 。 在 以 
往 实 验 过 程 中 ,还 具有 同学 出 现 过 这 个 问题 ,给 不 是 邻居 的 接口 配置 上 了 邻居 的 IP 地 址 ,而 
恰好 该 接口 也 处 于 激活 的 双 UP 状态 ,所 以 检查 接口 状态 的 时 候 没 发 现 这 个 问题 。 因 此 ,在 
这 里 建议 大 家 做 实验 前 , 先 把 所 有 物理 接口 都 通过 no shut 激活 ,然后 采用 sh cdp n 把 各 上 月 
邻居 都 找到 , 画 出 每 个 小 组 上 月 己 的 拓扑 结构 图 ,然后 再 给 相 邻 的 接口 配置 正确 的 IP 地 址 ,这 
FE WLAR 4E AS HETH Y . 


2. 静态 路 由 协议 排 销 思路 


当 上 述 问 题 都 得 到 解决 ,基础 配置 完成 , 直 连 链 路 连通 ,之 后 就 可 以 配置 静态 路 由 协 
议 了 。 

在 正式 配置 静态 路 由 协议 之 前 ,需要 先 对 全 网 分 析 路 由 ,每 台 路 由 需 有 多 少 直 连 路 巾 ， 
有 多 少 非 直 连 路 由 。 这 个 确定 好 后 ,静态 路 由 要 求 所 有 非 直 连 的 路 由 都 要 配置 。 同 时 ,还 要 
求 配置 回程 路 由 ,否则 数据 包 可 以 到 达 目 的 主机 ,但 是 无 法 回来 导致 超时 而 不 通 。 

如 果真 出 现 配 置 完 静 态 路 由 协议 而 ping 不 通 目的 主机 的 情况 ,在 协议 配置 方面 需要 
意 以 下 几 方 面 : 

(1) 使 用 show ip route 命令 查看 路 由 表 ,是 否 链 路 上 的 所 有 路 由 条 目 都 通过 静态 路 由 
或 默认 路 由 添加 进 路 巾 表 。 

(2) 配置 下 一 跳 地 址 时 ,是 个 是 正确 的 下 一 跳 IP 地 址 ,地址 是 售 可 达 。 

(3) 配置 出 接口 时 ,是 否 是 正确 的 出 接口 。 

(4) 配置 协议 时 , 子 网 掩 码 是 否 匹 配 。 


3. 测试 连通 性 的 基本 思路 


当 需 要 测试 主机 与 远 端 路 由 兹 或 主机 间 的 连通 性 时 ,如 果 通 过 上 面 的 排 错 方 法 还 不 能 
定位 出 错误 , 则 可 以 采用 下 面 的 步骤 ,由 近 及 远 的 逻辑 来 一 步 一 步 发 现 问题 : 

CD 在 主机 上 先 ping 127.0.0.1, 这 个 是 自己 的 回环 地 址 ,测试 本 机 的 TCP/IP 协议 栈 
是 否 正 党 ,正常 则 进行 下 一 步 。 

(2) 继续 在 主机 上 ping 本 机 的 IP 地 址 ,测试 本 机 的 网 卡 是 否 工作 正 篆 ,IP 地 址 是 否 配 
置 正 确 。 

(3) 继续 在 主机 上 ping 本 机 的 网 关 地 址 ,测试 本 机 与 网 关 之 间 的 链 路 是 否 连通 。 如 果 
不 通 , 则 可 能 是 网 线 有 问题 ,或 者 本 机 IP 与 网 关 IP 是 否 在 同一 个 子 网 , 子 网 掩 码 是 否 相 同 ; 
如 朱 连 通 , 则 继续 下 一 步 。 

(4) 继续 在 主机 上 ping egg E DLE HE ,测试 本 地 主机 与 过问 主机 之 间 的 连通 性 。 如 果 
不 通 , 则 问题 可 能 出 在 网 关 和 远 问 主机 之 间 ,检查 物理 线路 、IP 地 址 设置 等 问题 ; 如 果 中 辐 
还 有 其 他 路 由 右 , 则 还 要 按 上 面 的 方法 检查 路 由 协议 是 否 配 置 正确 。 

上 述 分 别 介绍 了 几 种 常见 的 网 络 故 障 和 排 错 的 思路 ,第 5 一 12 章 的 实验 过 程 中 还 可 能 
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会 遇 到 ,需要 在 实验 过 程 中 总 结 经 验 , 慢 慢 提 高 自己 的 实践 能 力 和 排 错 技 能 。 
a 
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1. 实战 拓扑 图 


本 实战 演练 的 拓扑 图 如 图 4-9 所 示 , 共 4 台 路 由 器 ,两 两 之 间 通 过 串口 线 连接 ,每 台 路 
由 器 还 设置 一 个 环 回 接口 用 于 测试 ,R1 连接 PCI 用 于 测试 。 
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图 4-9 病态 路 由 实验 扣 扑 


2. 实战 需求 


1) 按照 实验 拓扑 图 连接 好 各 设备 

验证 方法 : 利用 CDP 协议 查看 邻居 表 ,命令 为 show cdp neighbors. 

2) 各 设备 进行 基本 配置 ,并 测试 直 连 链 路 连通 性 

配置 各 叮 行 接口 (serial) 与 各 环 回 接口 (loopback) ,配置 完 后 测试 直 连 链 路 连通 性 。 
环 回 接口 的 配置 方法 和 普通 接口 类 似 , 全 局 配置 模式 下 配置 : 


Ri(config)1t ip address 1.1.1.1 255.255.255.0 


因 环 回 接口 是 逻辑 接口 ,默认 情况 下 是 一 下 开局 的 ,不 需要 no shutdown. 

验证 方法 : 通过 show ip interface brief 验证 ,查看 各 个 接口 状态 。 通 过 ping 命令 测试 
各 设备 直 连 链 路 连通 性 。 

3) 分 析 裔 仿 路 由 

观察 各 路 由 器 的 直 连 子 网 有 哪些 , 青 观察 各 路 由 器 的 非 直 连 子 网 有 哪些 。 所 有 非 直 连 
子 网 都 需要 配置 静态 路 由 协议 。 

4) 配置 静态 路 由 协议 

全 局 配置 模式 下 使 用 ip route 命令 配置 静态 路 由 ,注意 配置 相应 的 回程 路 由 。 
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验证 方法 : 首先 查看 路 由 表 show ip route; 然后 ,测试 连通 性 ,即使 用 ping 命令 测试 连 
通 性 。 

5) 测试 静态 路 由 协议 

通过 ping 命令 测试 全 网 连通 性 ,可 以 在 各 路 由 右上 测试 到 远 端 路 由 器 接口 之 间 的 连通 
性 。 同 时 ,在 PC1 上 根据 4.8 测试 顺序 测试 其 到 各 路 由 融 环 回 接口 的 连通 性 。 

6) 配置 默认 路 由 协议 

将 RI 改 用 默认 路 由 , 先 用 no ip route .…( 上 自行 补 人 全) 删除 已 配置 的 所 有 静态 路 由 ,再 改 
用 默认 路 由 。 通 过 show ip route 查看 路 由 表 是 否 有 变化 ,再 次 使 用 ping 命令 测试 全 网 连 
通 性 。 


3. 思考 题 


CD 在 图 4-9 所 示 实 战 网 络 中 ,R2、R3 、R4 能 否 配置 默认 路 由 ? 为 什么 ? 

(2) 在 图 4-9 所 示 实 战 网 络 中 ,如 果 想 在 R3.RA 之 间 配 置 浮 动静 态 路 由 ,该 如 何 连 线 ， 
如 何 配置 ? 

(3) 在 浮动 静态 路 由 实验 中 ,如果 将 新 增 的 静态 路 由 的 管理 距离 保留 为 默认 值 , 让 它 与 
主 路 由 的 管理 距离 相同 ,那么 路 由 融会 将 数据 包 发 往 哪 条 链 路 呢 ? 能 否 上 月 己 动手 测试 实验 
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1. 在 实际 生活 中 ,你 熟悉 哪些 应 用 的 处 理 过 程 能 够 用 来 解释 数据 包 在 网 络 中 的 路 由 过 
程 ? 这 些 应 用 主要 考虑 哪些 因素 ? 

2. 数据 包 在 被 路 由 的 过 程 中 ,网 络 中 的 哪些 地 址 是 一 直 不 变 的 ? 哪些 地 址 是 在 不 停 变 
化 的 ? 你 知道 为 什么 会 有 这 种 变化 吗 ? 

3. 你 能 够 读 懂 路 由 表 吗 ?你 能 够 从 路 由 表 里 学 习 到 哪些 信息 ?能 够 通过 路 由 表 知 道 
数据 包 的 走 癌 吗 ? 你 能 通过 路 由 表 判 断 网 络 中 哪些 位 置 发 生 故 障 了 吗 ? 

4. 路 由 协议 有 哪些 类 型 ? 分 别 具 有 哪些 特征 ? 静态 路 由 在 分 析 与 配置 的 时 候 需 要 注 
意 哪些 事项 ? 静态 路 由 、 默 认 路 由 浮动 静态 路 由 分 别 适 应 哪些 应 用 场景 ? 

5. 路 由 协议 优 劣 的 判断 依据 是 什么 ”同一 种 路 由 协议 下 ,路 径 优 劣 的 判断 依据 是 什 
么 ? 它们 体现 在 路 由 表 的 什么 位 置 ? 

6， 当 路 由 协议 配置 完成 , 源 端 和 目的 端 却 无 法 ping 通 时 ,你 会 排 错 吗 ? 你 掌握 哪些 网 
络 故障 检测 与 排 错 技能 ?” 能 和 其 他 同学 们 一 起 分 享 吗 ? 


路 由 信息 协议 与 配置 万 法 


本 章 学 习 第 一 种 动态 路 由 协议 。 路 由 信息 协议 是 一 种 典型 的 距离 矢量 路 由 选择 协议 ， 
仅 以 跳 数 作为 度量 因素 ,县 有 配置 简单 .周期 性 广播 更 新 等 特点 。 首 先 介 绍 为 什么 需要 路 由 
信息 协议 ,接着 介绍 相关 术语 、 基 本 概念 和 工作 原理 ,然后 介绍 协议 的 配置 与 测试 方法 ,最 后 
给 出 实战 演练 项 目 。 


5.1 为 什么 需要 RIP 
本 节 先 介绍 为 什么 需要 路 由 信息 协议 (Routing Information Protocol. RIP) ,然后 对 该 
协议 进行 简要 介绍 ,给 出 距离 天 量 路 由 协议 的 相关 概念 和 术语 。 


5.1.1 RIP 之 问 


"B 4 草 竺 习 到 焰 态 路 由 协议 主要 适用 于 拓扑 结构 和合 日 且 较 稳定 的 小 型 网 络 环境 , 当 侦 
到 中 大 型 网 络 时 eR S e EH NOR a Id A IES E DU 2E VE e VRDUE e ES JE UI e£: 网 所 有 路 
由 需 的 非 直 连 子 网 ,对 这 些 非 直 连 子 网 都 需要 配置 静态 路 由 协议 ,还 需要 给 每 条 路 由 配置 回 
程 路 由 。 当 其 中 某 条 链 路 故障 时 ,又 需要 重新 分 析 拓 扑 变化 情况 ,以 及 变 化 后 的 非 子 网 情况 
及 下 一 跳 是 否 变 化 ,再 逐一 删除 原来 配置 的 静态 路 由 ,重新 配置 新 的 毅 态 路 由 。 巾 于 非 下 连 子 
网 数量 多 , 且 还 需要 配置 回程 路 由 ,这 个 过 程 非 常 容 多 出 钳 , 给 管理 员 吝 来 诸多 膝 烦 和 不 便 。 

那么 ,针对 上 述 静 态 路 由 的 局 限 性 ,有 没有 一 种 路 由 协议 ,能 够 不 需要 关注 有 多 少 个 非 
和 下 连 子 网 ,也 无 须 关 注 回 程 路 由 ,还 能 自 适 应 网 络 拓扑 结构 的 变化 呢 ? 

答案 是 采用 动态 路 由 协议 。 继 静态 路 由 协议 之 后 ,最 早 设计 开发 并 应 用 的 动态 路 巾 协 
议 是 路 由 信息 协议 , 它 是 一 种 典型 的 距离 矢量 路 由 选择 协议 ,尤其 适合 于 组 建 15 跳 以 内 的 
中 小 型 网 络 , 其 工作 原理 和 配置 方法 均 非常 简单 , 且 多 于 管理 。 尤 其 是 RIPv2 版 , 文 持 子 网 
划分 和 可 变 长 子 网 掩 码 (VLSM) ,能 够 满足 校园 网 和 园区 网 络 的 灵活 组 网 和 路 巾 需求 ,在 早 
期 中 小 型 网 络 规划 设计 与 实施 中 应 用 十 分 广泛 。 


5.1.2 RIP 术语 


RIP 包含 如 下 概念 和 术语 : 
(1) 路 由 表 。 路 由 表 由 多 个 路 由 条 目 组 成 ,路 由 条 目 通 党 包含 日 己 卫 连 路 由 和 通过 路 
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由 协议 等 到 的 路 由 ,路 由 硕 根据 路 由 条 目 来 选择 到 达 目 标 网 络 的 最 佳 路 径 。 路 由 条 目的 结 
构 由 目标 网 络 地 址 / 子 网 拖 码 .管理 距 离 / 度 量 值 (代价 )、 下 一 跳 路 由 希 接 口 地 址 .路 巾 信息 
更 新 时 间 和 本 地 出 接口 等 字段 组 成 。 重 点 和 擎 握 其 中 的 管理 距离 /度量 值 (代价 ) 。 

(2) F HERFRA, € Mj A (Administrative Distance,AD) 用 来 衡量 路 由 需 已 经 接收 的 、 
来 目 相 邻 路 由 天 的 路 由 选择 信息 的 可 信和 度 。 例 如 ,和 直 连 路 由 .静态 路 由 、RIP、OSPEF 都 发 现 
可 以 到 达 目 标 网 络 A ,那么 路 由 表 中 应 该 添加 哪 一 条 路 由 呢 ? 谁 的 AD 值 小 , 谁 的 路 由 优先 


(3) 度量 全 。 度 量 值 (Metric) 也 称 人 代价, 度量 值 越 小 ,优先 级 越 高 ,路 由 (路 径 ) 就 越 好 。 
例如 ,RIP 协议 发 现 到 目标 网 络 A 有 两 条 路 由 (路 径 ) ,那么 应 该 选用 哪 条 呢 ? 度 量 值 小 的 
那 条 将 会 被 选用 ,并 写 人 路 由 表 。 度 量 值 是 同一 种 协议 下 路 由 (路 径 ) 好 坏 的 判断 依据 。 

(4) 跳 数 。 跳 数 是 距离 天 量 路 由 选择 协议 中 度量 值 的 一 种 计数 方式 ,1 跳 一 般 是 指 踊 
—^r- IJ s P — A H S o 

(5) 距离 。 指 从 当前 子 网 到 达 目 的 子 网 所 经 过 的 跳 数 , 即 所 路 越 的 子 网 数量 ,最短 距离 
的 路 由 称 为 最 佳 路 巾 。 

(6) 矢量 。 从 当前 网 络 或 路 由 兹 到 达 目 的 子 网 的 最 佳 路 由 所 指 的 方 品 。 距 离 和 矢量 一 
起 构成 RIP. 协议 的 核心 特征 。 

(7) 距离 天 量 路 由 选 挤 协 以。 距离 天 量 路 由 协议 通过 距离 和 方向 来 确定 到 达 目 的 子 网 
的 最 佳 路 由 ,距离 用 跳 数 来 计数 , 方 问 就 是 指 能 到 达 目 的 子 网 跳 数 最 少 的 路 由 (路 径 ) 的 
Ji n). 

(8) 路 由 信息 协议 (Routing Information Protocol,RIP)。 一 种 典型 的 距离 矢量 路 由 选 
择 协 议 , 也 是 一 种 最 先 设计 与 应 用 的 内 部 网 关 路 由 协议 。RIP 仅 利 用 跳 数 作为 最 佳 路 申 的 
判断 标准 。 它 的 跳 数 被 限制 为 15 跳 , 超 过 15 跳 ( 即 16 跳 ) 则 认为 网 络 不 可 达 , 这 在 一 定 程 
度 上 限制 了 网 络 的 规模 ,RIP 是 为 中 小 型 网 络 设计 的 。 


5.2 距离 失 量 路 由 协议 


距离 矢量 路 由 协议 在 网 络 拓扑 结构 发 生变 化 时 ,能 够 采用 周期 性 广播 更 新 方式 自动 更 
新 路 由 表 , 并 达到 收敛 稳定 状态 。 上 有 具体 为 : 每 隔 固定 的 时 间 , 如 RIP 协议 每 隔 30s, 距 离 矢 
量 路 由 协议 就 要 癌 所 有 邻居 路 由 器 发 送 自 和 号 完整 的 路 由 表 , 随 后 邻居 路 由 器 将 接收 到 的 路 
由 表 与 自 员 的 路 由 表 进 行 合并 ,以 完善 日 时 路 由 表 所 存储 的 路 由 条 目 。 但 是 ,路 由 器 周期 性 
接收 到 的 、 从 邻居 路 由 需 发 送 过 来 的 路 由 信息 只 是 邻居 路 由 器 对 某 个 网 络 的 认 知 ,路 由 器 本 
号 无 法 查证 接收 到 的 路 由 信息 的 真实 性 。 

当 网 络 规模 扩大 时 ,网 络 中 包含 的 路 由 器 数量 变 多 ,这 种 每 台 路 由 器 都 要 周期 性 广播 完 
整 路 申 表 的 方式 ,使 得 网 络 中 充斥 着 路 由 表 信 息 ,大 量 消耗 链 路 的 有 效 带 宽 。 因 此 ,距离 矢 
量 路 申 协议 比较 适合 于 中 小 型 网 络 , 其 典型 代表 是 RIP 协议 ,并 规定 网 络 规模 在 15 跳 以 
内 ,超过 15 跳 被 认为 网 络 不 可 达 ，。 


5.2.1 距离 天 量 路 由 协议 的 工作 原理 
下 面 通过 图 例 的 方式 介绍 距离 矢量 路 由 协议 的 工作 原理 。 如 图 5-1 所 示 , 当 路 由 器 在 
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完成 距离 和 天 量 路 由 协议 配置 后 ,进入 路 由 协议 初始 化 阶段 ,此 时 各 目的 路 由 表 中 仍然 只 有 下 
连 链 路 的 相关 路 由 信息 ,如 网 络 号 .输出 接口 和 跳 计 数 等 ,路 由 表 中 的 路 由 条 目 以 C 开头 ， 
直 连 路 由 的 跳 计 数 为 0。 


172.16.16.0/24 


192.168.10.0/24 10.136.10.0/24 10.136.15.0/24 
`z >z 


S0/2/] S$0/2/] 


R2 


* R2 路 由 表 
192.168.10.0| Fa0/0 10.136.10.0| SO/211 


R3 RK 


10.136.15.0| S021 | 0 | 
172.16.16.0| Fat | 0 — 
NENNEN 
NENNEN 


O S 
D]. | 


图 5-1 协议 初始 化 时 的 路 由 表 


经 过 一 段 时 间 ,到达 路 由 更 新 周期 后 ,三 台 足 由 兹 之 间 开 始 执行 第 一 次 完整 的 路 由 表 更 
新 。 此 时 每 台中 由 兹 均 会 将 目 喘 完整 的 路 由 表 从 所 有 激活 的 接口 上 厂 播 发 送 给 与 其 二 连 的 
邻居 路 由 器 。 比 如 ,Rl 从 R2 发 来 的 路 由 更 新 信息 (CR2 自己 的 完整 路 由 表 ) 中 得 到 了 一 条 
新 的 网 络 10. 136. 15.0 的 路 由 信息 ,并 将 其 加 入 到 R1 上 自身 的 路 由 表 中 ; A,R? 从 R1 发 
来 的 路 由 更 新 信息 (CR1 目 己 的 完整 路 由 表 ) 中 也 发 现 了 上 月 己 路 由 表 没 有 的 新 网 络 192. 168. 
10. 0 ,于 是 把 这 条 新 的 路 由 信息 加 入 到 月 身 的 路 由 表 中 : R2 还 从 R3 的 路 由 更 新 信息 中 学 
习 到 了 网 络 172. 16. 16.0。 同 理 ,R3 也 完善 了 自生 的 路 由 表 , 如 图 5-2 所 示 。 这 样 , 经 过 第 
一 次 路 由 更 新 ,R1l 学 习 到 一 条 来 目 R2 的 路 由 ,R2 分 别 从 RI 和 R3 各 学 习 到 一 条 ,R3 从 
R2 学 习 到 一 条 ,新 学 习 到 的 路 由 均 跨 一 台 路 由 带 , 即 1 跳 的 距离 。 


192.168.10.0/24 10.136.10.0/24 10.136.15.0/24 172.16.16.0/24 
"ur a A a "-— m 


S0/2/1 


SE 
Fao00 | 0 | soil o | 
10.136.100 | sur | 0 — 172.1616.0| Fao | o — 
s0/2/1 | 1 | 10.136.10.0 | SO2/ | 1 | 
| | NENNEN 


图 5-2 第 一 次 路 由 更 新 示例 


再 经 过 一 个 路 由 更 新 周期 ,各 路 由 需 发 起 第 二 次 路 由 更 新 ,同样 地 ,将 各 自 完 整 的 路 由 
表 上 再 次 广播 发 送 给 邻居 路 由 硕 。 当 R2 将 完整 路 由 表 发 送 给 Rl1 时 ,Rl 将 收 到 的 路 由 更 新 
信息 与 自己 的 路 由 表 进 行 比 较 , 发 现 一 条 新 的 路 由 172. 16. 16. 0 ,并 确认 R2 是 经 过 1 跳 学 
习 到 的 ,于 是 将 跳 数 加 1 ,标记 为 2 跳 ,并 将 该 条 路 由 加 入 自己 的 路 由 表 。 同 理 ,R2 也 将 完 
整 路 由 表 发 送 给 R3.R3 同样 经 过 2 跳 学 习 到 来 日 网 络 192. 168. 10. 0 的 路 由 。 同 理 ,R1 和 
R3 也 要 将 目 己 完整 路 由 表 发 送 给 R2,R2 比较 完 发 现 没 有 新 的 路 由 ,于 是 R2 的 路 由 表 保 持 
不 变 。 如 图 5-3 所 示 , 当 完成 第 二 次 路 由 更 新 后 ,每 台 路 由 器 均 学 习 到 了 全 网 的 所 有 路 由 信 
县 ,此 时 路 由 协议 达到 收敛 状态 ,路 由 表 稳 是, 可 以 正 篆 进 行路 由 选择 和 数据 转发 。 
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172.16.16.0/24 


—— 9 


— "«. 
Fa0/0 ij S0/2/1 


192.168.10.0/24 10.136.10.0/24 — 10.136.15.0/24 


RI 

O O RR ëO 

192168100 Fay | 0 | Ho13e150| suzi 0 — 
10136100| son | 0 | [7216160| Fay0 | 0 
10136.150| soan | 1 | |92168&100| SUZ/I- HO136100| son | 1 
172.16.169 32.168.100] S027 

图 5-3 第 二 次 路 由 更 新 示例 

当 路 由 器 处 于 会 聚 状态 (路 由 学 习 与 更 新 ) 时 ,由 于 路 由 器 自身 的 路 由 表 尚 未 包含 整个 


网 络 的 所 有 信息 ,因而 导致 无 法 正 篆 进行 路 由 选择 与 数据 转发 。 因 此 ,和 希望 路 由 会 聚 时 间 越 
短 越 好 ,尽快 进入 收敛 稳定 状态 。 事 实 上 ,RIP 协议 存在 的 主要 问题 就 是 路 由 会 聚 时 间 比 较 
长 ,这 将 导致 一 个 更 为 严重 的 问题 , 那 就 是 路 由 环 路 。 


5.2.2 路 由 环 路 问题 


距离 天 量 路 由 选择 协议 会 在 路 由 天 所 有 已 激活 的 接口 上 周期 性 广播 路 由 更 新 ,以 此 来 
通知 邻居 路 由 融 上 月 身 已 知 的 网 络 以 及 网 络 的 改变 。 但 是 , 当 某 个 网 络 发 生 故 障 时 ,问题 也 随 
之 而 来 ,由 于 忠 离 天 量 路 由 协议 的 慢 收 伍 ,最 终 会 引起 路 由 环 路 。 导 致 路 由 环 路 的 主要 原因 
是 每 台 路 申 带 不 能 同时 或 痢 近 乎 同时 地 更 新 月 身 路 由 表 。 

下 面 以 图 5-4 为 例 ,分 步 又 说 明 如 何 产生 路 由 环 路 。 


192.168.10.0/24 10.136.10.0/24 10.136.15.0/24 172.16.16.0/24 


092.168.10.0] Fao0 - 10156100[ soy! 0 — 50/71 
10.136150] soon | 0 — 
92.168.10.0| S0/2/ | 1 | [10.136.10.0 
172.16.16.0 | So/21 | 4 172.16.16.0 


图 5-4 路 由 环 路 


(1) 当 网 络 172. 16. 16.0 发 生 故 障 时 , 直 连 的 R3 路 由 需 将 其 设 为 不 可 达 , 然 后 等 待 
自己 的 更 新 周期 到 来 时 再 将 网 络 172. 16. 16. 0 不 可 达 的 消息 通告 给 邻居 路 由 器 R2。 在 
R3 的 等 待 过 程 中 ,R2 的 更 新 周期 到 了 ,这 时 ,R2 将 自己 的 完整 路 由 表 广 播 给 Rl1 和 R3. 
这 时 ,R3 收 到 R2 发 送 过 来 的 路 由 更 新 信息 中 看 到 R? 有 到 达 网 络 172. 16.16.0 的 路 由 
( 见 图 5-3) ,经 过 1 跳 的 距离 ,所 以 R3 将 其 跳 数 加 1 工 变 为 2 跳 ,并 将 该 路 由 加 入 目 己 路 
nx. 

(20 不 久之 后 ,R3 的 更 新 周期 到 来 ,R3 将 自己 完整 路 由 表 发 送 给 R2, 将 能 够 到 达 网 络 
172.16. 16. 0 的 路 由 再 次 通告 给 R2,R2 收 到 路 由 更 新 信息 后 ,经 过 比较 发 现 , 可 以 通过 R3 
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到 达 网 络 172. 16. 16. 0, 于 是 将 其 跳 数 再 加 1 后 存 和 人 自己 路 由 表 ,; 从 而 R2 到 达 网 络 
172. 16. 16. 0 变 成 3 Ek. 

(3) 随后 ,R2 的 更 新 周期 又 到 来 了 ,R2 将 自己 能 够 到 达 网 络 172. 16. 16.0 的 路 由 再 次 
通告 给 邻居 路 由 器 R1 和 R3.RI 收 到 后 将 跳 数 加 1 后 存 入 自己 路 由 表 , 变 成 4 跳 。R3 又 收 
到 能 够 通过 R2 到 达 网 络 172. 16. 16.0 的 路 由 , 跳 数 又 再 加 1; 再 等 人 3 更 新 周期 到 达 时 ,R2 
又 收 到 能 够 通过 R3 到 达 网 络 172. 16. 16. 0 的 路 由 , 跳 数 又 再 加 1, 如 此 循环 ,路 由 环 路 

(A) 当 路 由 环 h 路 形成 时 ,任何 发 送 往 目 标 网 络 172. 16. 16. 0 的 路 由 均 被 转发 给 R2 ,再 
转发 给 R3 ,然后 等 待 一 会 儿 又 再 次 转发 给 R2, 又 再 转发 给 R3, 最 终 会 因 进 入 死 循环 的 路 由 
更 新 信息 大 量 消 耗 链 路 带宽 而 导致 网 络 隐 人 次 痪 状态 。 


5.2.3 路 由 环 路 的 解决 万 法 


路 由 环 路 将 给 网 络 整 体 性 能 带 来 严重 影响 ,甚至 导致 网 络 瘫痪 。 通 常 可 以 采用 如 下 方 
法 有 效 缓解 或 解决 路 由 环 路 问题 : 

CD 最 大 跳 计 数 (defining a maximum)。 通 过 是 义 最 大 跳 计 数 来 限制 可 能 的 路 由 循环 
的 次 数 , 如 RIP 设置 最 大 跳 计 数 为 15 跳 。 

(2) 水 平分 割 (split horizon) 。 禁 止 路 由 协议 回 传 路 由 更 新 信息 。 如 图 5-4 所 示 .R2 的 
路 由 表 中 ,网络 172. 16. 16. 0 是 通过 接口 S0/0/1 从 R3 的 路 由 更 新 信息 中 学 习 到 的 ,水 平 
分 割 即 禁止 R2 再 从 接口 S0/0/1 将 网 络 172. 16. 16.0 的 路 由 回 传 给 R3, 从 而 有 效 避 免 路 由 
环 路 的 产生 。 

(3) 路 由 毒化 (route prisoning) 。 当 网 络 出 现 故障 时 ,将 直 连 该 网 络 的 路 由 需 中 的 相应 
路 申 项 的 度量 值 设 为 16 跳 ,表示 该 路 由 已 经 失效 ,以 此 启动 路 由 毒化 。 如 图 5-4 所 示 , 当 网 
络 172. 16. 16.0 发 送 故 障 ,R3 即将 该 路 由 设 为 16 跳 , 并 通知 给 R2. R2 收 到 此 毒化 路 由 也 
宣告 给 R1l ,最 后 全 网 都 知晓 该 网 络 不 可 达 , 从 而 避免 路 由 环 路 。 

(4) 触发 更 新 (triggered update) 。 当 路 由 天 检测 到 网 络 故障 时 ,立刻 发 送 路 由 更 新 消 
旦 给 相 邻 路 由 器 ,并 依次 产生 触发 更 新 通知 其 邻居 的 邻居 路 由 器 ,如 图 5-4 所 示 , 当 网 络 
172. 16. 16. 0 发 送 故 障 ,R3 立即 触发 更 新 ,通知 R2. R2 立即 通知 R1, 使 得 整个 网 络 在 最 短 
的 时 间 内 收 到 网 络 不 可 达 的 更 新 信息 ,避免 了 路 由 环 路 的 产生 。 

(5) 抑制 计时 器 (hold-down timer)。 设 置 抑 制 计 时 需 可 以 防止 其 他 路 申 融 的 路 由 表 中 
过 早 地 恢复 某 些 无 效 的 路 由 。 如 图 5-4 所 示 , 当 网 络 172. 16. 16. 0 发 送 故 障 , 各 路 由 器 激活 
抑制 计时 器 ,设置 一 个 合理 的 计时 值 , 在 这 个 时 间 范 围 内 ,该 故障 路 由 一 直 保持 无 效 状 态 ,不 
参与 路 由 表 的 更 新 ,从 而 避免 路 由 环 路 。 


5.3 ”RIP 协议 及 工作 原理 


RIP 协议 要 求 网 络 中 的 每 侣 路 由 侣 部 要 维护 从 它 日 己 到 其 他 每 个 目标 网 络 的 距离 记 
录 。 默 认 情 况 下 ,配置 有 RIP 协议 的 路 由 天 每 隔 30s 就 通过 UDP 520 端口 问 与 它 直 连 的 所 
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有 邻居 路 由 天 广播 发 送 上 月 已 完整 的 路 由 表 , 通 过 这 种 周期 性 广播 的 方式 进行 路 由 更 新 。 
RIP 协议 采用 分 布 式 贝尔 曼 - 福 德 (Bellman-Ford) 算 法 ,目前 有 两 个 版 本 ,分 别 为 RIPv1 和 
RIPv2。RIPv1 是 最 先 设 计 并 广泛 使 用 的 内 部 网 关中 由 协议 (GP), 是 一 种 有 类 路 由 协议 ， 
而 RIPv2 则 支持 子 网 划分 和 可 变 长 子 网 掩 码 C(VLSM) ,是 一 种 无 类 路 由 协议 。 

下 面 从 协议 的 特性 、 计 时 兹 ,路 由 表 、 两 种 版 本 、 认 证 和 汇总 等 方面 系统 介绍 协议 的 工作 
原理 。 


5.3.1 RIP 的 特性 


RIP 协议 的 特性 主要 体现 在 如 下 几 个 方面 : 

(1) 一 种 典型 的 距离 矢量 路 由 协议 ,管理 距离 (AD) 为 120, 使 用 跳 计 数 作为 度量 标准 ， 
最 大 跳 计 数 为 15 跳 , 超 过 15 跳 将 视 为 不 可 达 而 被 丢弃 分 组 。 

(2) 使 用 5 种 计时 融 来 管理 协议 的 性 能 : 路 由 更 新 计时 融 、 踏 由 失效 计时 冀 \ 保 持 失 效 
计时 器 ,路 由 抑制 计时 颖 和 路 由 刷新 计时 疾 。 

(3) 网 络 必 须 下 连 , 采 用 周期 性 广播 路 由 更 新 方式 ,将 完整 路 由 表 广 播 给 所 有 激活 的 邻 
居 路 由 器 ,周期 为 30s, RIP 消息 通过 广播 地 址 255. 255. 255. 255 进行 发 送 , 使 用 UDP Hh 
议 的 520 mH. 

(4) 支持 等 价 链 路 实现 负载 均衡 ,默认 4 条 ,最 大 可 支持 6 条。 

(5) RIPv1 只 使 用 有 类 路 由 选择 ,是 有 类 路 由 协议 , 即 在 该 网 络 中 的 所 有 设备 必须 使 用 
主 类 默认 的 网 络 掩 码 , 因 为 它 发 送 的 路 由 更 新 数据 中 不 携带 子 网 掩 码 信 息 ,不 文 持 不 连续 子 
网 和 VLSM 设计 。 

(6) RIPv2 可 以 文 持 无 类 路 由 选择 ,是 无 类 路 由 协议 ,每 条 路 由 条 目 和 都 可 以 携 融 目 己 的 
子 网 掩 码 , 文 持 VLSM, x $$ CIDR 查找 ,在 安全 性 方面 还 支持 协议 认证 。 


5.3.2 RIP 计时 宣 


RIP 协议 主要 依赖 如 下 4 种 计时 器 管控 协议 工作 : 

(1) 路 由 更 新 计时 需 Cupdate timer)。 用 于 设置 路 由 兹 发 送 自 出 完整 路 由 表 给 相 邻 路 
FH di B PST [8] [8] B 388 35$ 7J 30s。 

(2) PE IEEE TEE SS Ctimeout timer). ME 30s 仍然 没有 收 到 路 由 更 新 , 则 激活 超 
时 计时 需 , 将 继续 等 待 150s, 即 在 这 个 等 待 时 间 里 ,如 果 路 由 器 没有 收 到 某 个 网 络 相 关 的 路 
由 更 新 信息 ,那么 路 由 器 将 判定 这 条 路 由 为 无 效 路 由 (possible down), 该 等 待 时 长 共 
为 180s。 

(3) 路 由 抑制 计时 需 (holddown timer)。 用 于 路 由 器 宣告 一 条 路 由 无 效 (possible 
down) 后 , 即 超时 计时 颖 结束 后 ,路 由 器 启动 抑制 计时 器 ,开始 癌 外 宣告 这 条 路 由 不 可 达 , 同 
时 不 接收 任何 更 新 信息 ,不 对 路 由 表 中 的 该 路 由 进行 任何 修改 , 耳 到 抑制 计时 笑 超 时 。 上 默认 
情况 下 ,该 计时 兹 持续 时 间 为 180s。 

(4) 路 由 刷新 计时 恬 (flush timer)。 用 于 设置 将 无 效 路 由 从 路 由 表 中 删除 前 需要 等 待 
的 时 间 。 将 无 效 路 由 从 路 由 表 中 删除 之 前 ,路 申 天 会 将 此 路 由 消息 通告 给 相 邻 路 由 硕 。 路 
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由 刷新 计时 副 和 路 由 超时 计时 带 同 时 计时 ,通常 为 240s, 即 超时 计时 融 超 时 后 路 由 条 目 只 
要 进入 60s 的 路 由 抑制 时 间 束 会 被 删除 。 当 刷新 计时 天 超时 ,路 申 条 目 被 删除 后 ,被 删除 的 
路 由 条 目 可 以 立刻 被 新 的 任何 度量 值 的 最 优 路 由 代 蔡 。 


5.3.3 RIP 路 由 表 条 目 


RIP 协议 的 路 由 条 目 如 图 5-5 所 示 , 前 面 的 代码 R 表示 RIP 协议 ,10. 136. 10. 0/24 X 
示 该 路 由 条 目 要 到 达 的 目标 网 络 地 址 ,[120/1] 表 示 管 理 距离 为 120, 度 量 值 是 1 跳 ， 
172. 16. 10. 1 是 该 路 由 的 下 一 跳 IP 地 址 ,00:00:;05 表示 该 路 由 已 经 更 新 了 5s, 到 下 一 次 
更 新 还 差 25s, 因 为 每 30s 一 个 周期 ,serial0/2/1 是 该 路 由 的 本 地 出 接口 。 完 整理 解 这 条 
路 申 条 目 是 : 本 路 由 大 采用 RE 协议 ,通过 出 接口 serial0/2/1 到 达 下 一 跳 接 口 IP 地 址 
172. 16. 10.1 ,经 过 1 跳 的 距离 到 达 目 标 网 络 10. 136. 10. 0/24. 


目标 网 络 EZ Fetih 本 地 出 接口 


(destination network) (hops) (nexthop address) (local interface) 


R 10.136.10.0/24 [120/1] via 172.16.10.1, 00:00:05, serial 0/2/1 


| 
RIP 协 议 管理 距离 和 度量 但 距离 下 一 次 更 新 时 间 还 有 25s 


(AD and metric) (routing update time) 


K|5-5 RIP 协议 路 由 条 目 


5.3.4 RIPv1 和 RIPv2 
RIP 目前 有 两 个 版 本 ,RIPv1 和 RIPv2. 
1. RIPv1 概述 


RIPv1 Zé IEJ A th 2 HY A SB P9 XE HE EHI» — FE 2S HE EH DNI » 1X. Sc FF In] ERR] E 
路 由 ,以 广播 的 形式 进行 路 由 信息 更 新, 在 路 由 更 新 中 发 送 目 号 完整 的 路 由 表 且 不 携 刘 任何 
了 于 网 掩 码 ,将 子 网 目 动 汇总 成 主 类 网 络 进行 路 由 ,屏蔽 所 有 子 网 的 特征 。 

RIPv1 RH 5. 2. 2 市 所 述 4 种 计时 帮工 作 , 跳 计数 最 大 值 都 古 15 BE. 


2. RIPv2 概述 


RIPv2 不 是 一 种 新 的 协议 , 它 只 是 在 RIPvl 协议 的 基础 上 增加 了 一 些 扩 展 符 性 ,以 适 
HIT SUNT BERE XETEXRBR. x06 pU FRCBRTECH : 每 个 路 由 条 目 采 用 组 播 的 方式 进行 更 
新 ,在 更 新 时 都 携带 目 己 的 子 网 掩 码 ,路 由 选择 更 新 增加 了 认证 功能 以 提高 安全 性 。 因 为 路 
由 更 新 条 目 中 增加 了 子 网 掩 码 的 字段 ,支持 VLSM, 从 而 使 RIPv2 协议 变 成 了 一 种 无 类 路 
由 协议 ,更 满足 实际 应 用 的 需求 。 


3. RIPv1 和 RIPv2 的 异同 点 
RIPv1 和 RIPv2 之 则 有 许多 的 相似 之 处 ,也 有 明显 的 不 同 , 表 5-1 总 结 了 这 两 个 版 本 之 
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间 的 异同 点 。 
需要 注意 的 是 : 通常 情况 下 ,RIPvl 和 RIPv2 是 不 兼容 的 ,可 以 在 路 由 器 接口 模式 下 做 


Route(config- if) ip rip send version 1/2 


Route(config- if) # ip rip receive version 1/2 


上 述 配 置 方法 可 以 使 RIPvl 和 RIPv2 JH & 3E 7E, 


表 5-1 RIPv1 和 了 RIPv2 的 异同 点 


协议 版 本 RIPv1 RIPv2 

协议 类 型 有 类 路 由 协议 无 类 路 由 协议 

度量 因素 跳 计 数 , 最 大 15 跳 跳 计 数 , 最 大 15 SE 

更 新 方式 采用 广播 更 新 255. 255. 255. 255 默认 采用 组 播 更 新 224. 0. 0. 9 

子 网 信息 路 由 更 新 条 目 不 携 市 子 网 信息 路 由 更 新 条 目 携带 子 网 信息 

计时 器 更 新 .超时 、 抑 制 、. 刷 新 更 新 .超时 、 抑制、 刷新 

认证 类 型 不 文 持 认证 支持 明文 和 MD5 认证 

VLSM 不 支持 不 连续 子 网 和 VLSM 支持 不 连续 子 网 和 VLSM 

汇总 方式 文 持 目 动 汇总 ,但 不 文 持 于 动 汇 总 支持 自动 路 由 汇总 和 手动 路 由 汇总 


RIP 配置 命令 的 语法 如 下 : 


Router (config) # router rip 
Router(config- router) # version [version number] 


Router(config- router) # network [destination network] 


version number 表示 使 用 的 RIP 版 本 ,可 以 选 1.378 RIPv1; 或 者 选 2.375 RIPv2, 

destination network 表示 要 宣告 到 RIP 协议 的 网 络 地 址 , 即 路 由 融 直 连接 口 所 在 网 络 
的 网 络 地 址 。 

注意 : RIPvl 是 有 类 路 由 协议 ,配置 的 时 候 只 要 写 主 类 网 络 地 址 就 可 以 了 ,如 A 类 地 址 
10. 136. 10. 0/24, 则 只 需要 宣告 network 10. 0. 0. 0 就 可 以 了 。 如 果 有 宣告 , 则 表示 该 接口 
所 在 的 网 络 加 入 到 RIP 协议 ,该 接口 可 以 接收 和 发 送 RIP 路 由 更 新 信息 ; 如 果 没 有 宣告 ， 
则 该 接口 无 法 接收 和 发 送 RIP 路 由 更 新 信息 。 

下 面 以 图 5-6 为 例 , 介 绍 这 两 个 版 本 的 配置 方法 。 


192.168.10.0/24 - 10.136.10.0/24 


图 5-6 RIP 基本 配置 示例 
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在 路 由 器 Rl1 上 配置 RIPvl, 配 置 方法 如 下 : 


Rl(config) # router rip 


Rl(config-router) 4 version 1 


/ / RIPv1 
Rl(config-router) 4 network 192.168.10.0 //C 类 主 类 网 络 地 址 
Rl(config-router) # network 10.0.0.0 / / A 类 主 类 网 络 地 址 


Rl (config-router) # end 


在 路 由 器 RI 上 配置 RIPv2 ,配置 方法 如 下 : 


Rl(config)4t router rip 


Rl(config-router) # version 2 / / RIPv2 
Rl(config-router) # network 192.168.10.0 //C 类 网络 地 址 
Rl(config-router) # network 10.136.10.0 //A 3518 VLSM 


Rl(config- router) # end 


要 删除 一 条 RIP 配置 时 ,只 需要 在 宣告 网 络 时 ,在 命令 前 面 加 上 no, 其 他 部 分 保持 不 
变 。 如 要 删除 图 5-6 的 左边 局 域 网 的 RIP 路 由 ,配置 命令 如 下 : 


Rl(config) # router rip 
Rl(config-router) # version 2 / / RIPv2 
Rl(config-router) # no network 192.168.10.0 // 删 除 RIP 路 由 


如 条 要 删除 整个 路 由 协议 , 则 只 需要 一 条 命令 束 可 以 : 


Rl(config) # no router rip // 删 除 整个 路 由 协议 


5.3.6 RIPv2 认证 方法 
1. RIP 认证 方式 


RIPvl 不 文 持 链 路 认证 。 如 果 发 送 并 接收 的 均 是 RIPv2 数据 包 , 可 以 在 接口 上 局 
用 RIP 认证。 路 由 器 支持 两 种 认证 模式 , 即 明 文 认证 和 MD5 认证 ,默认 为 明文 认证 
Fi 


配置 方法 如 下 : 

Router(config) # key chain name /7 定义 钥匙 链 ， 只 有 本 地 意义 
Router(config-keychain) # key number // 定 义 密 匙 号码, 必须 匹配 
Router(config-keychain-key) # key- string password / [7E X E RU uH 令 两 边 必 须 相 同 
Router(config) 井 interface s 0/2/1 // 进 人 接口 


Router(config-if) # ip rip authentication key- chain name-of chain 


Router(config-if) # ip rip authentication mode [text|md5] //Ju FH RIP 认证 ,调用 配置 的 密 匙 
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2. RIP 认证 的 密 钥 匹配 原则 


RIP 是 距离 矢量 路 由 协议 ,不 需要 建立 邻居 关系 ,其 认证 是 单 癌 的 , 即 RI 成 功 认 证 了 
R2 时 (CR2 是 被 认证 方 ),R1l 就 可 以 接收 R2 上 友 送 来 的 路 由 ; 反之 ,如 果 RI 没 认 证 R2 时 (CR2 
是 被 认证 方 ),R1 将 不 能 接收 R2 发 送 来 的 路 由 。 值 得 注意 的 是 : R1 成 功 认 证 了 RZCOR2 是 
被 认证 方 ) 不 代表 R2 也 能 成 功 认 证 R1(R1 是 被 认证 方 ) 。 

RIP 明文 认证 和 MD5 认证 分 别 有 各 目的 密 钥 匹配 原则 ,分 别 如 下 : 

(1) 明文 认证 的 匹配 原则 。 

A. 发 送 方 (被 认证 方 ) 发 送 最 小 key ID H925 $4. 

B. pit key ID 号 码 。 

C. 接收 方 ( 认 证 方 ) 会 和 所 有 key chain 中 的 密 钥 匹配 ,如 果 匹 配 成 功 , 则 通过 认证 。 

案例 1: 路 由 器 RI 有 一 个 key ID. key1 —321; 路 由 器 R2 有 两 个 key ID. key1 — 123, 
key2—321, 

根据 上 面 的 原则 , 当 RI 认证 R2( 被 认证 方 ) 时 ,R2 将 最 小 ID 的 密 钥 值 123 发 送 给 R1. 
R1 收 到 后 和 自己 的 key 进行 匹配 ,而 自己 的 key 为 321, 不 匹配 ,所 以 结果 是 认证 失败 ; 反 
过 来 , 当 R2 认证 R1( 被 认证 方 ) 时 ,RI1 将 keyl—321 发 送 给 R2,R2 收 到 后 与 目 己 所 有 的 
key 进行 匹配 ,而 它 月 已 有 key2 王 321 ,能 够 匹配 ,所 以 结果 是 认证 成 功 。 

(2) MD5 认证 的 匹配 原则 。 

A. 发 送 方 ( 被 认证 方 ) 发 送 最 小 key ID WRH. 

B， 携 市 key ID 548. 

C. 接收 方 ( 认 证 方 ) 首 先 会 查找 是 否 有 相同 的 key ID, 如 果 有 ,只 匹配 一 次 ,决定 认证 是 
否 成 功 ; 如 果 没 有 该 key ID ,查找 该 ID 往 后 的 最 近 ID 的 key, A A UG Bo ,认证 成 功 ; 如 果 不 
匹配 或 者 没有 往 后 的 ID, 则 认证 失败 。 

案例 2. 路 由 器 R1 — key ID. key1 — 123, key3— 321. key5 — cisco; 路 由 器 R2 有 
一 个 key ID. key2— 123, 

根据 上 面 的 原则 , 当 Rl1 认证 R2( 被 认证 方 ) 时 ,R2 将 最 小 的 key2—123 发 送 给 RI.RI 
收 到 后 检查 是 否 有 相同 的 key2, 而 R1 没有 key2, 往 后 最 近 的 key3 二 321, 不 匹配 ,所 以 结果 
是 认证 失败 ; 反 过 来 , 当 R2 认证 R1( 被 认证 方 ) 时 ,R1 将 最 小 的 keyl—123 发 送 给 R2.R2 
收 到 后 检查 是 否 有 相同 的 keyl, 而 R2 没有 keyl, 往 后 最 近 的 ID 是 key2— 123.5 R1 发 送 
过 来 的 123 能 够 匹配 ,所 以 结果 是 认证 成 功 。 


5.3.7 RIP 汇总 


RIPv1 默认 情况 下 是 自动 汇总 , 且 不 可 以 手动 开启 和 关闭 ; RIPv2 默认 情况 下 也 是 目 
动 汇总 ,但 是 可 以 手动 开局 和 关闭 ,还 可 以 手动 进行 汇总 。 配 置 方法 如 下 : 


Router(config) # router rip 

Router (config-router) # no auto- summary // XB] B SHE A 
Router (config) # interface s0/0/1 

Router(config- if) # ip summary- address rip {汇总 ip 与 掩 码 } //-Epiu 
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5.3.8 RIP 单 播 更 新 与 触发 更 新 


RIP 路 巾 更 新 用 的 是 广播 地 址 ,在 某 些 情况 下 可 能 不 需要 采用 广播 的 方式 。 思 科 引 和 人 
neighbor 命令 可 以 指定 邻居 ,以 单 播 的 方式 发 送 路 由 更 新 ,更 新 的 目的 地 址 为 neighbor 命 
令 中 指定 的 邻居 IP 地 址 。 如 条 在 允许 广播 的 链 路 上 配置 neighbor 命令 , 则 广播 和 单 播 更 
新 同时 进行 ,也 就 是 neighbor 命令 会 产生 一 份 备份 路 由 更 新 。 此 外 ,还 引入 passive- 
interface 命令 来 阻止 在 某 个 接口 上 的 更 新 ,以 便 在 不 必要 产生 动态 路 由 信息 的 链 路 上 节约 
资源 。 

当 这 两 个 命令 同时 配置 在 一 台 路 由 需 上 时 ,passiverinterface 接口 将 停止 默认 的 广播 式 
更 新 ,而 单 播 更 新 会 经 过 该 接口 发 到 neighbor 命令 所 指定 的 邻居 上 (假设 neighbor 命令 指 
定 的 邻居 和 此 接口 相连 )。 这 两 个 命令 是 平等 的 ,不 存在 优先 级 ,只 是 停止 RIP 协议 默认 的 
路 由 更 新 ,并 允许 通过 第 三 方 命令 指定 更 新 方式 。 

触发 更 新 (triggered update): 一 旦 收 到 消息 报告 网 络 不 可 达 , 就 立即 广播 ,不 必 等 下 一 
个 广播 周期 (30s) 到 达 。 同 时 ,在 广播 中 保持 此 目标 网 络 , 只 是 加 一 个 很 大 的 代价 值 。 

配置 方法 如 下 : 


RTA(config) # interface Serial0/2/1 

RTA(config-if) # ip rip triggered // 触 发 更 新 ,配置 触发 更 新 后 ,只 会 传递 汇总 路 由 ; 否 
// 则 除了 汇总 路 由 ,还 有 目 动 汇总 的 主 类 路 由 

RTA(config) # router rip 

RTA(config-router) # neithbor 172.1.1.2 // 配 置 邻 居 

RTA(config-router) 4 passive- interface Serial 0/2/1  // 抑 制 传播 , 只 接收 更 新 不 发 送 更 新 


5.4 RIP 协议 配置 与 测试 方法 


n 


5.4.1 实验 内 容 
1. 实验 拓扑 


信息 学 院 的 路 由 带 为 R1. TEHRI ETAN R2, 图 书馆 主 节 点 为 R3, 信 息 和 学院 与 工科 
屡 群 主 节 点 同 的 子 网 为 10. 136. 10. 0/24, 工科 楼 群 主 节点 与 图 书馆 主 节 点 同 的 子 网 为 
10. 136. 15. 0/24 ,如 图 5-7 所 示 。 


Loopback0 Loopback0 
|.1.1.1/24 3.3.3.3/24 
o) _SO/2/1: .1/24 — S0/2/1:.2/2»4 S0/0/1: .2/24 S0/2/1: .3/24 Q 
二 过 二 过 MM 二 过 

Umm 10.136.10.0/24 10.136.15.0/24 
fe RHBERE 图 书馆 主 
It EH GERI 主 节点 R2 节点 R3 


图 5-7 RIP 基本 配置 
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2. 实验 需求 


要 求 配 置 RIP 协议 ,使 得 全 网 连通 ,信息 学 院 路 由 大 R1 的 Loopback 0 接口 能 够 连通 
RK BEETS R3 的 Loopback 0 接口 。 实 验 步 又 如 下 : 

CD 对 各 路 由 带 进 行 基础 配置 并 改名 ,接着 配置 各 个 接口 的 IP 地 址 与 状态 。 配 置 完 成 
后 ,可 以 用 CDP 协议 确认 是 否 按 照 拓 扑 正 确 连 接 。 然 后 ,可 以 用 show ip interface brief 查 
看 各 接口 IP 地 址 与 状态 ,确认 无 误 后 ,继续 以 下 操作 。 

(2) 在 三 台中 由 各 上 配置 RIPvI 协议 和 RIPv2 协议 ,查看 相关 日 记 。 

(3) 更 改 RIP 路 由 协议 计时 冀 。 


5.4.2 实验 配置 


1) 基本 配置 

基础 配置 在 4.5.5 节 已 经 操作 过 ,此 处 不 再 详细 列举 。 

2) 在 三 台 路 由 器 上 配置 RIPvl 协议 ,并 查看 相关 日 志 

以 路 由 器 RI 为 例 , 它 与 1.1. 1.0、10. 136. 10. 0 这 两 个 网 络 直 连 ,因此 配置 RIP 时 ,只 
雷 配 置 这 两 个 网 络 , 即 上 月 身 接口 相连 的 网 络 。 


Rl(config) # router rip 
Rl(config-router) # version 1 
Ri(config-router) # network 1.1.1.0 
Rl(config-router) # network 10.136.10.0 
Rl(config-router) # end 


同 理 ,路 由 器 R2 配置 10.136. 10.0,10. 136. 15. 0 这 两 个 网 络 , 路 由 器 R3 配置 10. 136. 
15.0,3. 3. 3. 0 这 两 个 网 络 。 
各 路 由 器 上 配置 完 RIP 后 ,可 以 查看 路 由 表 , 这 里 以 路 由 器 RI 为 例 : 


R1 # show ip route 

(部 分 内 容 省 略 ) 

1.0.0.0/24 is subnetted, 1 subnets 

C 1.1.1.0 is directly connected, Loopback0 

R 3.0.0.0/8[120/2] via 10.136.10.2, 00:00:09, Serial0/2/1 
10.136.10.0/24 is subnetted, 2subnets 

C 10.136.10.0 is directly connected, Serial0/2/1 

R 10.136.15.0[120/1] via 10.136.10.2, 00:00:09, Serial0/2/1 


可 以 看 出 R1 学 习 到 的 是 3.0.0.0 这 个 网 络 而 不 是 3.3.3.0,3.0.0.0 是 A 类 网 络 , 证 
明了 RIPvl 是 有 类 路 由 。 同 理 ,R3 上 学 习 到 的 也 是 1. 0.0.0 子 网 而 非 1. 1. 1.0, 

RIP 配置 完成 测试 连通 性 ,这 里 以 有 1 的 Loopback 0 为 源 ping R3 的 Loopback 0 
为 例 。 


R1 # ping 3.3.3.3 //1E R1 上 直接 ping 远 端 地 址 3.3.3.3 
Type escape sequence to abort. 
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Sending 5, 100-byte ICMP Echos to 3.3.3.3, timeout is 2 seconds: 


EEEE // 成 功 连 通 
Success rate is 100 percent (5/5), round-trip min/avg/max = 2/14/25 ms 
R1 # ping 3.3.3.3 source loop 0 // 在 R1 上 以 loopbackO 接口 为 源 ping vé 9m Hb HE 3.3.3.3 


Type escape sequence to abort. 

Sending 5, 100- byte ICMP Echos to 3.3. 3. 3, timeout is 2 seconds: 

Packet sent with a source address of 1.1.1.1 

EEEE // 成 功 连通 

Success rate is 100 percent (5/5), round-trip min/avg/max = 28/29/32 ms 


3) RIP Duk, ter E 


R1 show ip protocols 

Routing Protocol is "rip" 

Outgoing update filter list for all interfaces is not set 
Incoming update filter list for all interfaces is not set 
Sending updates every 30 seconds, next due in 20 seconds 
Invalid after 180 seconds, hold down 180, flushed after 240 
Redistributing: rip 


Default version control: send version 1, receive version 1 


Interface send Recv Triggered RIP Key-chain 
Serial0/2/1 1 1 
Loopback0 1 1 


Automatic network summarization is in effect 
Maximum path: 4 


Routing for Networks: 


1.0.0.0 

10.0.0.0 

Routing Information Sources: 

Gateway Distance Last Update 
10. 136.10. 2 120 00:00:05 


Distance: (default is 120) 


RIP 协议 信息 的 具体 分 析 如 下 : 

(1) 由 Routing Protocol is "rip" 可 知 ,当前 运行 看 RIP 协议 。 

(2) Sending updates every 30 seconds. next due in 20 seconds, 更 新 时 间 默 认为 30s， 
跑 离 下 次 发 包 还 有 20s. 

(3) Invalid after 180 seconds,hold down 180.flushed after 240 ,无 效 时 间 .拒绝 时 间 、 
清除 时 间 分 别 为 180s,180s 和 240s. WRR RITE RIP HX A PA H art 180s 内 未 接收 
到 其 他 路 申 天 的 更 新 信息 ,当前 路 由 天 将 标记 相应 未 更 新 的 路 由 为 无 效 路 由 。 接 下 来 的 
180s 内 ,路 由 信息 将 被 标记 为 possibly down, 如 果 这 个 时 间 内 恢复 正常 ,也 要 等 到 计时 结束 
后 该 路 由 信息 才 会 更 新 为 up 状态 。 而 这 个 时 间 内 始终 未 恢复 正常 ,将 会 计时 240s; 如 果 
240s 内 仍然 没有 更 新 信息 ,该 条 路 由 信息 将 被 删除 。 

(4) Default version control: send version l.receive version 1 ,默认 发 送 厂 本 RIPvl , 接 
收 也 默认 为 RIPv1。 下 方 的 列表 也 可 知 具体 接口 的 发 送 和 接收 版 本 均 为 1。 
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(5) Routing for Networks 记录 了 当前 路 由 融 回 外 发 送 的 网 络 信息 。 

(6) Routing Information Sources id5* J % Ai pit H as MATH 4D En EH es 2e 2J HJ — 28 [5 E . fl 
如 接口 和 管理 距离 ,RIP 默认 的 管理 距离 为 120。 

4) 开局 debug 模式 查看 日 志 , 大 致 日 记 信 息 如 下 ,如 发 送 版 本 、 接 收 版 本 、 度 量 值 等 


R1 # debug ip rip 

< Aug 10 12:09:50.127: RIP: sending vl update to 255.255.255.255 via Loopback0 (1.1.1.1) 

* Aug 10 12:09:50. 127: RIP: build update entries 

* Aug 10 12:09:50. 127: | network 3.0.0.0 metric 3 

* Aug 10 12:09:50.127: network 10.0.0.0 metric 1 

R1 # 

* Aug 10 12:09:59.823: RIP: sending vl update to 255. 255. 255. 255 via Serial0/2/1 (10. 136. 
10.1) 

* Àug 10 12:09:59.823: RIP: build update entries 

* Aug 10 12:09:59.823: network 1.0.0.0 metric 1 


R11 
* Aug 10 12:10:03.423: RIP: received vl update from 10.136.10.2 on Serial0/2/1 
x Aug 10 12:10:03.423: 3.0.0.0 in 2 hops 


x Aug 10 12:10:03. 423: 10.136.15.0 1n 1 hops 


部 分 可 能 的 输出 结 采 解释 如 下 : 

(1) RIP: sending vl update to 255. 255. 255. 255 via Serial0/2/1(10. 136. 10. 1), Æ 
Serial0/2/1 上 配置 RIPvl., 

(2) RIP; sending v2 update to 224. 0. 0. 9 via Serial0/2/1€10. 136. 10. 12. TE Serial0/ 
2/1 上 配置 了 RIPv2, 

(3) RIP; received vl update from 10. 136. 10. 2 on Serial0/2/1. MJ, Serial0/2/1 接口 接 
lf» FH. 10. 136. 10. 2 hRS. UA Ze RIPv1 CZ? bos v2 则 是 RIPv2) 。 

(4) RIP: ignored v2 packet from 1. 1. 1. 1(sourced from one of our addresses) ht Æ fic 
pite 忽略 了 接收 到 的 包 。 

) 三 台 路 由 器 上 配置 RIPv2 协议 并 查看 相关 日 志 

n ,我 们 通过 如 下 命令 清除 各 路 由 大 上 的 路 由 表 。 这 里 以 路 由 需 R1 为 例 , 路 由 天 

R2.R3 上 的 操作 方法 一 致 (下 同 )。 


R1 # clear ip route * 


UH RIPv2 协议 并 关闭 上 月 动 汇总 。 这 里 以 路 由 需 RI 为 例 . 


Rl(config) # route rip 

Rl(config-router) # version 2 / /J8 FH RIPv2 
Rl(config-router) # no auto- summary // X BI] A IE. As. 
Rl(config-router) # end 


6) 重新 查看 协议 信息 
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R1 # show ip protocols 

Routing Protocol is "rip" 

Outgoing update filter list for all interfaces is not set 
Incoming update filter list for all interfaces is not set 
Sending updates every 30 seconds, next due in 14 seconds 
Invalid after 180 seconds, hold down 180, flushed after 240 
Redistributing: rip 


Default version control: send version 2, receive version 2 / /发送 和 接收 版 本 均 为 RIPv2 
Interface Send Recv Triggered RIP Key-chain 

Serial0/2/1 2 2 

Loopback0 f 2 


Automatic network summarization is not in effect 
Maximum path: 4 


Routing for Networks: 


1.0.0.0 

10.136. 10.0 

Routing Information Sources: 

Gateway Distance Last Update 
10. 136. 10. 2 120 00:00:04 


Distance: (default is 120) 


与 之 前 的 RIPvl 对 比 , 从 Default version control 一 行 可 以 发 现 默 认 发 送 接收 版 本 均 为 
2。 下 方 的 列表 也 可 知 具体 端口 的 发 送 和 接收 版 本 均 为 2。 
当然 ,也 可 以 通过 配置 接口 ,在 接口 模式 下 指定 特定 的 版 本 ,命令 分 别 是 : 


Router(config- if) & ip rip send version 1 
Router(config-if) 4 ip rip send version 2 
Router(config-if) 4 ip rip receive version 1 


Router(config-if) f ip rip receive version 2 


这 些 命 令 指 定 了 接口 只 接收 或 发 送 某 一 RIP 版 本 或 两 个 版 本 的 路 由 信息 。 默 认 人 情况 
下 ,路 由 送 接 收 两 个 RIP 版 本 的 路 由 信息 ,但 只 发 送 RIPvV1 的 路 由 信息 。 
7) RIPv2 配置 后 查看 路 由 表 


R1 # show ip route 


..( 部 分 内 容 省 略 ) 

1.0.0.0/24 is subnetted, 1 subnets 

C 1.1.1.0 is directly connected, LoopbackO 
3.0.0.0/24 is subnetted, 1 subnets 

R 3.3.3.0 [120/2] via 10.136.10.2, 00:00:00, Serial0/2/1 
10.136.10.0/24 is subnetted, 2 subnets 

C 10.136.10.0 is directly connected, Serial0/2/1 

R 10.136.15.0 [120/1] via 10.136. 10.2, 00:00:00, Serial0/2/1 

仔细 观察 可 以 发 现 : 


R 3.3.3.0 [120/2] via 10.136.10.2, 00:00:00, Serial0/2/1 


112 “路 由 交换 技术 与 实验 


Ne" 


通过 RIP 学 习 到 目标 子 网 3.3. 3. 0 的 路 由 ,该 路 由 证 明了 RIPv2 是 无 类 路 由 , 文 持 
VLSM ,因为 3.3. 3.0 本 应 是 3.0.0.0 的 一 个 子 网 。 


R1 # show ip rip database 


1.0.0.0/8 auto- summary 

1.1.1.0/24 directly connected, Loopback0 
3.0.0.0/8 auto- summary 

33.3 024 


[2] via 10.136.10.2, 00:00:18, Serial0/2/1 
10.136.0.0/16  auto-summary 

10.136.10.0/24 directly connected, Serial0/2/1 
To: 136. 15. 0/24 

[1] via 10.136. 10.2, 00:00:18, Serial0/2/1 


8) 更 改 RIP Fi HH BHL XE PT 
在 R1,R2 上 更 改 RIP P$ HL HNE P] gu s OE SATA B AT 3127J 308,180s,180s 和 240s, iX 
里 翻 倍 更 改 。 


Rl(config) # router rip 
Rl(config-router) # timers basic 60 360 360 480 
Rl(config-router) # end 


9) 再 次 查看 协议 信息 


R1 # show ip protocol 

Routing Protocol is "rip" 

(部 分 内 容 省 略 ) 

Sending updates every 60 seconds, next due in 51 seconds 
Invalid after 360 seconds, hold down 360, flushed after 480 
(部 分 内 容 省 略 ) 


可 以 发 现 ,我 们 成 功 更 改 了 了 Rl 中 RIP PH BRE HT s. mU R3 上 没有 更 改 ,仍然 显 示 为 : 


R3 # show ip protocol 

Routing Protocol is "rip" 

(部 分 内 容 省 略 ) 

Sending updates every 30 seconds, next due in 8 seconds 
Invalid after 180 seconds, hold down 180, flushed after 240 
(部 分 内 容 省 略 ) 


同一 网 络 下 的 多 人 台 路 由 着 的 人 RIP 定时 兹 设置 应 该 一 臻 。 通 过 修改 RIP BM «E IT $8 [H. 
虽然 可 以 减少 路 由 刷新 的 频率 ,进而 减少 带宽 消耗 ,但 一 般 不 建议 更 改 默 认 值 。 
恢复 定时 需 默 认 值 用 命令 no timers basic. 


5.4.3 实验 结果 分 析 


路 由 信息 协议 (RIP) 默 认 情 况 下 ,每 阳 30s 就 发 送 目 己 完整 的 路 由 表 到 所 有 激活 的 接 
通过 路 由 表 发 现 路 由 ,根据 路 由 表 转 发 数据 包 。 
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观察 路 由 表 ,Codes 部 分 在 静态 路 由 中 已 经 提 及 过 了 ,这 里 关注 以 人 开头 的 两 行 ,如 下 : 


R 3.0.0.0/8 [120/2] via 10.136.10.2, 00:00:09, Serial0/2/1l 
R 10.136.15.0 [120/1] via 10.136.10.2, 00:00:08, Serial0/2/1 


对 上 述 路 由 条 目 ,详细 解读 如 下 : 

OD R 表示 RIP 协议 ,表明 这 是 通过 RIP 协议 自动 学 习 到 的 路 由 信息 。 

(2) 3.0.0.0/8 目标 网 络 地 址 (destination network)。 

(3) [120/2] 管 理 距离 (AD) ME Œ {Ë (metric) . RIP. 的 管理 距离 默认 为 120, 不 同 协议 
下 ,管理 距离 小 的 ,路 由 的 优先 级 高 , 视 为 更 好 。 度 量 值 等 于 跳 数 (hop count) ,同一 协议 下 ， 
度量 值 越 低 视 为 越 好 。 

(4) via 12. 12. 12. 1 通过 下 一 跳 的 IP 地 址 (nexthop address). 

(5) 00:00:09 路 由 上 次 更 新 到 现在 经 过 的 时 间 (routing update time) ,这 里 为 9s。 

(6) Serial0/2/1 本 地 出 接口 (local interface) ,通过 该 接口 将 数据 转发 到 下 一 跳 IP 地 址 。 


5.5 配置 RIP 手动 路 由 汇总 

5.5.1 实验 内 容 

1. 实验 拓扑 

某 高 校 工科 有 计算 机 学 院 、 通 信和 学 院 \ 信 息 学 院 和 网 络 空间 安全 学 院 共 四 个 学 院 , 每 个 
学 院 的 边界 都 有 一 台 路 由 器 ,分 别 为 R1、R2、R3 和 R4, 这 些 路 由 器 之 间 通 过 串口 线 连接 ,如 
图 5-8 所 示 ,将 四 个 学 院 组 成 一 个 网 络 , 共 理学 院 黄 源 。 此 外 ,在 网 络 空间 安全 学 院 的 路 由 
$& R4 上 设置 四 个 回环 接口 Loopbackl,Loopback2, Loopback3 和 Loopback4 ,在 计算 机 等 
院 的 路 由 天 R1 上 设置 一 个 回环 接口 Loopback0。 


Loopback0 


| Loopback1 Loopback2 
1.1.1.1/24 4.4.1.4/24 4.4.2.4/24 
cu 1212.12.0/24 Le. 23.23.23.0/24 m 34.34.34.0/24 om 
S2 so NINE ur: 安全 学 院 
S0/2/1 S0/0/1 cop S0/2/0 cog 安全 学 耽 
V ELEC 通信 和 学院 信息 学 院 


Loopback3 Loopback4 
4.4.3.4/24 4.4.4.4/24 


图 5-8 RIP 路 由 汇总 
2. 实验 需求 


在 R4 上 手动 配置 路 由 汇总 ,对 4 个 Loopback 接口 地 址 做 汇总 ,配置 前 先 设 计 好 子 网 
地 址 。 
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5.5.2 实验 配置 
EMH žr R1、R2 和 R3 启用 常规 的 RIPv2. RA 的 配置 如 下 : 


R4A(config) # router rip 


RA(config-router) # version 2 


RA(config-router) it no auto- summary / / X Hi 日 动 汇总 
RA(config-router) # network 34.34.34.0 // 将 接口 地 址 宣告 进 RIPv2 协议 


R4(config-router) # network 4.4.1.0 
RA(config-router) # network 4.4.2.0 
RA(config-router) # network 4.4.3.0 
RA(config-router) # network 4.4.4.0 


5.5.3 实验 结果 分 析 


在 R4 未 进行 手动 汇总 前 ,在 其 他 路 由 器 上 查看 路 由 表 , 注 意 路 由 表 条 目 信 息 。 下 面 以 
在 计算 机 学院 的 路 由 天 R1 上 查看 为 例 : 


R11: show ip route 
Codes: C — connected, S — static, R — RIP, M - mobile, B — BGP 
D — EIGRP, EX 一 EIGRP external, O - OSPF, IA - OSPF inter area 
N1 — OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 
El — OSPF external type 1, E2 - OSPF external type 2 
1 — IS- IS, su — IS- IS summary, Li — IS- IS level-1, L2 — IS- IS level-2 
ia — IS- IS inter area, * -— candidate default, U 一 per-user static route 
o — ODR, P - periodic downloaded static route 
Gateway of last resort is not set 
C 192.168.12.0/24 is directly connected, Serial0/0/0 
1.0.0.0/24 is subnetted, 1 subnets 
C1.1.1.0 is directly connected, LoopbackO0 
4.0.0.0/24 is subnetted, 4 subnets 
R 4.4.1.0 [120/3] via 12.12. 12.2, 00:00:21, Serial0/0/0 
// 通 过 RIPv2 学 习 到 的 来 目 RA 的 环 回 接口 路 由 条 目 
R 4.4.2.0 [120/3] via 12.12.12.2, 00:00:12, Serial0/0/0 
R 4.4.3.0 [120/3] via 12.12.12.2, 00:00:05, Serial0/0/0 
R 4.4.4.0 [120/3] via 12.12.12.2, 00:00:21, Serial0/0/0 
R 23.23.23.0/24 [120/1] via 12.12.12. 2, 00:00:21, Serial0/0/0 
R 34. 34. 34. 0/24 [120/2] via 12.12. 12.2, 00:00:22, Serial0/0/O0 


路 由 器 RI 的 路 由 表 中 有 R4 的 4 条 环 回 接口 的 明细 路 由 。 

为 了 减少 路 由 表 条 目 数量 ,提升 网 络 有 效 带宽 ,应 该 对 R4 的 环 回 接口 路 由 进行 手动 
汇总 。 

手动 汇总 一 般 在 接口 模式 下 启用 ,在 R4 的 接口 so/0/0 上 配置 手动 汇总 ,命令 如 下 : 


R4(config) # interface s0/0/0 
R4({config-if) # ip summary 一 address rip 4.4.0.0 255.255.252.0 / /在 接口 配置 RIP 手动 汇总 
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册 次 在 计算 机 等 院 的 路 由 带 R1 ETUR MHAR: 


R1 # show ip route 

Codes: C - connected, S - static, R - RIP, M - mobile, B - BGE 

D — EIGRP, EX 一 EIGRP external, O - OSPF, IA - OSPF inter area 

N1 — OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 

El — OSPF external type 1, E2 - OSPF external type 2 

i — IS- IS, su — 15— IS summary, bl — 15— IS level-1, L2 — 15— IS level-2 
ia — IS- IS inter area, * -— candidate default, U — per-user static route 
o — ODR, P - periodic downloaded static route 

Gateway of last resort is not set 

C 12.12.12. 0/24 is directly connected, Serial0/0/0 

1.0.0.0/24 is subnetted, 1 subnets 

C 1.1.1.0 is directly connected, Loopback0 

4.0.0.0/22 is subnetted, 1 subnets 

R 4.4.0.0 [120/3] via 12.12.12.2, 00:00:21, Serial0/0/0  // 汇 总 路 由 ,原来 有 4 条 ,现在 只 有 一 条 
R 23. 23. 23. 0/24 [120/1] via 12.12.12.2, 00:00:21, Serial0/0/0 

R 34. 34. 34. 0/24 [120/2] via 12.12. 12.2, 00:00:22, Serial0/0/0 


路 由 器 RI 的 路 由 表 中 接收 到 汇总 路 由 4.4.0.0/22. W., R2, RS 也 收 到 汇总 条 目 。 
5.6 配置 RIP 认 证 及 触发 更 新 


5.6.1 实验 内 容 

1. 实验 拓扑 

本 实验 拓扑 图 如 图 5-8 所 示 。 

2. 实验 需求 

TEE HI S8 R1、R2、R3、R4 配置 认证 ,同时 启用 触发 更 新 。 
5.6.2 实验 配置 

(D 在 路 由 右 Rl 上 配置 认证 和 触发 更 新 。 


Rl(config) # key chain test // 配 置 钥匙 链 
Rl(config-keychain) # key 1 / /配置 KEY ID 
Rl(config-keychain-key) it key-string cisco // 配 置 KEY ID 的 密 匙 


Rl(config) 井 interface s0/0/0 

Rl(config-if) & ip rip authentication mode text 

// 启 用 认证 ,认证 模式 为 明文 ,默认 认证 模式 就 是 明文 ,所 以 也 可 以 不 用 指定 
Rl(config-if) 4 ip rip authentication key-chain test // 在 接口 上 调用 钥匙 链 
Rl(config-if) 43i ip rip triggered // 在 接口 上 局 用 触发 更 新 
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(2) Æ H ss R2 上 局 用 认证 和 触发 更 新 。 


R2(config) # key chain test 

R2(config-keychain) # key 1 // 最 好 一 致 
R2(config-keychain-key) # key- string cisco // 最 好 一 致 
R2(config) # interface s0/0/0 

R2(config-if) 4 ip rip triggered 

R2(config-if) & ip rip authentication key-chain test 

R2(config- if) interface s0/0/1 

R2(config-if) & ip rip authentication key-chain test 

R2(config- if) ip rip triggered 


(3) 在 路 由 着 R3 上 局 用 认证 和 触发 更 新 。 


R3(config) # key chain test 

R3(config-keychain) # key 1 

R3(config-keychain-key) # key-string cisco 
R3(config) 井 interface s0/0/0 

R3(config-if) £& ip rip authentication key-chain test 
R3(config- if) ip rip triggered 

R3(config-if)# interface s0/0/1 

R3(config-if) & ip rip authentication key- chain test 
R3(config- if) ip rip triggered 


(4) EEA SE RA 上 局 用 认证 和 触发 更 新 。 


RA(config) 井 key chain test 

RA(config-keychain) # key 1 

RA(config-keychain-key) # key-string cisco 
RA(config) # interface s0/0/O0 

RA(config- if) 4 ip rip authentication key-chain test 


5.6.3 实验 结果 与 分 析 
在 R2 上 使 用 show ip protocols 查看 协议 状态 : 


R2 # show ip protocols 
Routing Protocol is "rip" 
Outgoing update filter list for all interfaces is not set 


Incoming update filter list for all interfaces is not set 


Sending updates every 30 seconds, next due in 4 seconds 
Invalid after 180 seconds, hold down 0, flushed after 240 
// Vh T fh Ur, hold down thide H 5 7J 0 

Redistributing: rip 

Default version control: send version 2, receive version 2 


Interface Send Recv Triggered RIP Key- chain 


Serial0/0/0 2 
Serial0/0/1 2 


2 
2 


第 5 章 ”路 由 信息 协议 与 配置 方法 


Yes test 
Yes test 


// 以 上 两 行 表 明 s0/0/0 和 so/o/1 接口 启用 了 认证 和 触发 更 新 


Automatic network summarization is not in effect 


Maximum path: 4 


Routing for Networks: 


12.12. 12.0 
23. 23. 23.0 


Routing Information Sources: 


Gateway 
[2.12 1 
de 


Distance Last Update 
120 00:26:10 
120 00:26:01 


Distance: default is 120 


在 R2 上 使 用 debug ip rip 查看 调试 信息 : 


R2# debug ip rip 


RIP protocol debugging is on 


R2# clear ip route * 


x Feb 11 13:51:31.827: 


* Feb 11 13:51 
* Feb 11 13:51 
* Feb 11 13:51 
* Feb 11 13:51 
no route 

* Feb 11 13:51 
* Feb 11 13:51 
no route 

* Feb 11 13:51 
x Feb 11 13:51 
* Feb 11 13:51 
* Feb 11 13:51 
flush, seq# 1 
* Feb 11 13:51 
* Feb 11 13:51 


* Feb 11 13:51 
* Feb 11 13:51 
flush, seq# 1 
* Feb 11 13:51 
* Feb 11 13:51 
* Feb 11 13:51 
* Feb 11 13:51 
flush, seq# 2 
* Feb 11 13:51 
* Feb 11 13:51 
* Feb 11 13:51 
* Feb 11 13:51 


al: 
ns]. 
ee 
23d. 


DAT 
231 


a 
e s 
dE um 
Ju gud 


Ju pum 
E pL 


Jd pum 
yd 


d rua 
Ms 
3A. 
du at 


pup. 
JG m 
:32. 
Dd. 


9831: 
843: 
847 : 
847 : 


851: 
855: 


655: 
019: 
019: 
023: 


027: 
031: 


019: 
031 


027 : 
031: 
035: 
035: 


039: 
043: 
071: 
071: 


RIP: sending triggered request on Serial0/0/0 to 224.0.0.9 
// 触 发 更 新 开局 
RIP: sending triggered request on Serial0/0/1 to 224.0.0.9 
RIP: sending triggered request on Serial0/0/0 to 224.0.0.9 
RIP: sending triggered request on Serial0/0/1 to 224.0.0.9 
RIP: send v2 triggered flush update to 12.12.12.1 on Serial0/0/0 with 


RIP: start retransmit timer of 12.12.12.1 
RIP: send v2 triggered flush update to 23.23.23.3 on Serial0/0/1 with 


RIP: start retransmit timer of 23.23.23.3 

RIP: received packet with text authentication cisco // 明 文 认 证 开启 
RIP: received v2 triggered update from 12.12.12.1 on Serial0/0/0 
RIP: sending v2 ack to 12. 12. 12. 1 via Serial0/0/0 (12.12.12.2), 


1.1.1. 0/24 via 0.0.0.0 in 1 hops 
RIP: received packet with text authentication cisco 


RIP: received v2 triggered update from 12.12.12.1 on Serial0/0/0 
RIP: sending v2 ack to 12.12. 12. 1 via Serial0/0/0 (12.12.12.2), 


1.1.1.0/24 via 0.0.0.0 in 1 hops 

RIP: received packet with text authentication cisco 

RIP: received v2 triggered update from 23.23.23.3 on Serial0/0/1 
RIP: sending v2 ack to 23.23. 23.3 via Serial0/0/1(23.23.23.2), 


34.34.34.0/24 via 0.0.0.0 in 1 hops 

4.4.4.0/24 via 0.0.0.0 in 2 hops 

RIP: received packet with text authentication cisco 

RIP: received v2 triggered update from 23.23.23.3 on Serial0/0/1 
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* Feb 11 13:51:32.071: RIP: sending v2 ack to 23.23.23.3 via Serial0/0/1(23.23.23.2), 
flush, seq# 3 

* Feb 11 13:51:32.075: 34.34.34.0/24 via 0.0.0.0 in 1 hops 

* Feb 11 13:51:32. 079: 4.4.4.0/24 via 0.0.0.0 in 2 hops 

* Feb 11 13:51:32.083: RIP: received packet with text authentication cisco 

* Feb 11 13:51:32.083: RIP: received v2 triggered ack from 23.23.23.3 on Serial0/0/1 
flush seq# 2 

* Feb 11 13:51:32.087: RIP: send v2 triggered update to 23.23.23.3 on Serial0/0/1 

* Feb 11 13:51:32.087: RIP: build update entries 

* Feb 11 13:51:32.091: route 176: 12.12.12.0/24 metric 1, tag 0 

* Feb 11 13:51:32. 091: route 181: 1.1.1.0/24 metric 2, tag 0 

x Feb 11 13:51:32.095: RIP: Update contains 2 routes, start 175, end 188 

* Feb 11 13:51:32. 095: RIP: start retransmit timer of 23.23.23.3 

* Feb 11 13:51:32.099: RIP: received packet with text authentication cisco 

* Feb 11 13:51:32. 099: RIP: received v2 triggered update from 12.12.12.1 on Serial0/0/0 
* Feb 11 13:51:32.103: RIP: sending v2 ack to 12. 12. 12. 1 via Serial0/0/0 (12.12.12.2), 
flush, seq# 2 

* Feb 11 13:51:32.107: 1:1- 1. 0/24 via 0.0.0.0 in 1 hops 

* Feb 11 13:51:32.107: RIP: received packet with text authentication cisco 

* Feb 11 13:51:32.111: RIP: received v2 triggered ack from 12.12.12. 1 on Serial0/0/0 
flush seq# 3 

* Feb 11 13:51:32.111: RIP: send v2 triggered update to 12.12.12.1 on Serial0/0/0 

* Feb 11 13:51:32.115: RIP: build update entries 

* Feb 11 13:51:32.115: route 178: 23.23.23 0/24 metric 1, tag 0 

x Feb 11 13:51:32.119: route 184: 34.34.34. 0/24 metric 2, tag 0 

* Feb 11 13:51:32.123: route 187: 4.4.4.0/24 metric 3, tag 0 

* Feb 11 13:51:32.123: RIP: Update contains 3 routes, start 178, end 188 

* Feb 11 13:51:32.123: RIP: start retransmit timer of 12.12.12.1 

* Feb 11 13:51:32.263: RIP: received packet with text authentication cisco 

* Feb 11 13:51:32.263: RIP: received v2 triggered ack from 23.23.23.3 on Serial0/0/1 
seq# 3 

* Feb 11 13:51:32.267: RIP: received packet with text authentication cisco 

* Feb 11 13:51:32.271: RIP: received v2 triggered ack from 12.12.12. 1 on Serial0/0/O0 
seq 4 


F His R2 上 开局 debug ip rip, 由 于 触发 更 新 ,RIP 不 需要 再 等 待 30s 的 路 由 更 新 时 
I8] . Pr A B E I UP fb triggered 触发 更 新 标记 ,同时 在 接收 的 更 新 中 市 有 text 
authentication ,证 明 R2 接口 开局 了 明文 认证 。 

RIPv2 还 文 持 MD5 认证 , 留 给 同等 们 网 上 查找 资料 ,日 己 探究 。 


经 过 上 述评 细 的 RIP 路 由 协议 配置 和 分 析 实 例 , 应 该 党 握 了 RIP 协议 的 工作 原理 、 配 
BSW, ARIAT. 下面 杀 上 月 动手 实践 ,通过 一 个 稍微 复杂 的 拓扑 结构 图 进行 实战 


A m 
igi 2k. 
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1. 实战 拓扑 图 


某 高 校 工 科 有 计算 机 学 院 、 通 信 学 院 、 信 息 学 院 和 网 络 空间 安全 学 院 共 四 个 学 院 , 每 个 
学 院 的 边界 部 有 一 台 路 由 副 , 分 别 为 Rl1、R2、R3 和 RA. RI 和 R2 间 通过 串口 线 连接 ,R2、 
R3、R4 两 两 之 间 通 过 串口 线 连接 ,如 图 5-9 所 示 , 将 四 个 学 院 组 成 一 个 网 络 , 共 于 等 院 贤 源 。 
此 外 ,每 台 路 由 希 上 设置 一 个 回环 接口 用 于 测试 。 


信息 学 院 


loris 2222/24 
l Q Dope 3.3.3.324 


|.1.1.1/24 


12.12.12.0/24 
34.34.34.0/24 


计算 机 学 院 4.4.4.4/24 
— ç loop4 
S0/2/0 
po] 28 23 [H] 
安全 学 耽 


图 5-9 RIP 实战 拓扑 图 


2. 实战 需求 


(D 在 各 日 路 由 妖 上 进行 基本 配置 ,包括 路 由 兹 名 称 、 接 口 IP 地 址 等 ,并 测试 直 连 链 路 
连通 性 。 验 证 方法 : 利用 CDP 协议 查看 邻居 表 ( 命 令 为 show cdp neighbors) 验 证 是 否 按照 
拓扑 图 正确 连接 。 

利用 show ip interface brief 验证 IP 地 址 配置 信息 , 双 UP RERNE., 

(2) 在 各 路 由 关上 进行 RIP 协议 基本 配置 。 

(3) 等 待 一 段 时 间 ( 各 路 由 器 路 由 表 更 新 周期 ) 后 ,在 各 路 由 器 上 查看 路 由 表 , 查 看 关键 
信息 (省 理 距离 .度量 值 \ 下 一 跳 接口 、 本 地 端口 等 )。 查 看 路 由 表 : show ip route. NEA 
RIP 路 由 信息 : show ip route rip, 

(4) MAREM., PLA ER A irie e RIP 协议 后 ,查看 各 目 路 由 带 是 含 能 够 ping JI 
他 网 段 的 IP 地址。 验证 方法 : 在 路 由 器 上 通过 ping 其 他 设备 IP 地 址 验证 是 否 正确 配置 
RIP 协议 ,如 果 各 日 ping 的 结果 均 为 11111, 则 表示 RIP REEK. 

(5) 观察 路 由 的 动态 过 程 : 在 路 由 器 R2 上 关闭 s0/0/0 接口 ,等 待 一 段 时 间 后 ,在 各 路 
由 器 上 查看 路 由 表 ; 重新 在 路 由 器 R2 上 开启 s0/0/0 接口 ,等 待 一 段 时 间 后 ,在 各 路 由 关上 
查看 路 由 表 ,观察 路 由 的 变化 。 

关闭 接口 方法 : 进入 该 接口 模式 ,执行 命令 shutdown 即 可 。 启 用 接口 方法 : 进入 该 接 
O ,执行 no shutdown 即 可 。 

(6) 清除 路 由 表 ( 包 括 清 除 静 态 路 由 配置 )。 清 除 路 由 表 命 令 : clear ip route” , 

CD 查看 协议 信息 。 查 看 协议 信息 命令 : show ip protocols. 

(8) 删除 所 有 RIPv1 路 由 协议 ,全 部 路 由 癌 改 为 配置 RIPv2 协议 ,仔细 观察 路 由 表 的 
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Ne 


变化 。 删 除 RIPv1 方法 : Joiün- Bü no. HEA h i a ie 02, c GE D ZR BE rtr e? 
3. 思考 题 


CD 为 什么 路 由 需 RLI 上 配置 RIP 协议 使 用 network 1. 0.0. 0? 如 果 使 用 network 
1.1.0.0 或 省 network 1. 1. 1. 0 时 , 歼 委 一样 吗 ? 三 着 有 什么 区 别 ? 为 什么 ? 

(2) 路 由 需 R1 到 达 网 络 4. 4. 4. 0/24 分 别 有 哪 几 条 路 由 ? 路 由 需 R3 到 达 网 络 1. 0. 0. 0/8 
分 别 有 哪 几 条 路 申 ? 

(3) 为 什么 要 等 待 一 段 时 间 才 能 观察 到 路 由 表 的 变化 呢 ? 


1. 相 比 静态 路 由 协议 ,动态 路 由 协议 具有 哪些 优势 ? 动态 二 字 主 要 体现 在 哪些 地 方 ? 
通过 什么 机 制 来 实现 动态 的 功能 ? 

2. 什么 是 路 由 环 路 问题 ? 会 给 网 络 本 吴 市 来 哪些 影响 ? 例如 我 们 是 网 络 中 的 用 户 ,又 
会 给 我 们 使 用 网 络 带 来 哪些 影响 ? 

3. RIP 协议 是 如 何 缓解 路 由 环 路 问题 的 ? 通过 什么 机 制 实现 ? 你 能 实现 相应 的 算 
法 吗 ? 

4. RIP 协议 的 工作 原理 是 什么 ? 配置 的 时 候 震 要 注意 什么 ?”RIP 协议 有 什么 局 限 性 ? 

5. RIP v1 和 RIP v2 有 何 异 同 之 处 ? 它们 相互 兼容 吗 ? 如 何 配置 能 让 它们 相互 兼容 ? 


增强 型 内 部 网 关 
路 由 协议 与 配置 方法 


本 章 开 始 学 习 一 种 新 的 动态 路 由 协议 ,增强 型 内 部 网 关 路 由 协议 , 它 兼 具有 距离 矢量 路 
由 协议 和 链 路 状态 路 由 协议 的 特点 ,是 一 种 混合 型 路 由 协议 ; 同时 , 它 也 是 一 种 Cisco 私有 
协议 ,只 能 运行 在 Cisco 的 路 由 设备 上 。 首 先 介 绍 为 什么 需要 增强 型 内 部 网 关 路 由 协议 , 接 
着 介绍 相关 术语 、 基 本 概念 和 工作 原理 ,然后 介绍 协议 的 配置 和 测试 方法 ,最 后 给 出 实战 演 
"AH. 


6.1 为 什么 需要 EIGRP 


通过 第 5 草 的 学 习 , 我 们 了 解 到 RIP 协议 存在 一 定 的 局 限 性 ,本 曹 回 同学 们 介绍 为 什 
么 需要 使 用 增强 型 内 部 网 关 路 由 协议 (EIGRP) ,以 及 其 基本 概念 和 相关 术语 。 


6.1.1 EIGRP 之 回 


作为 最 早 开 发 并 应 用 的 内 部 网 关 路 由 协议 ,RIP 协议 的 工作 原理 和 配置 方法 都 比较 
fE, XT Ped 2$ Ex XR a T] S ER B i DE YT m 7) f. [HZ . RIP 协议 具有 明显 的 局 限 性 ,主要 的 
问题 是 如 下 两 个 : 一 个 是 最 大 距离 限制 15 EE. IX d Y PA HU dw A OSEE .— Mx Hy Je) 5X 
网 ,例如 高 校 校 园 网 ,通常 都 有 20 一 40 个 学 院 , 每 个 学 院 采 用 一 台 路 由 需 或 三 层 以 上 交 
换 机 作为 网 络 边界 ,还 有 网 书馆 .学 生 箱 舍 、 行 政 机 关 等 单位 也 有 相关 设备 ,这 样 的 局 域 
网 就 远 远 大 于 15 跳 , 因 此 ,在 这 种 网 络 规 模 下 ,RIP 协议 难以 满足 需要 。 男 一 个 问题 就 是 
路 由 环 路 问题 仍 可 能 存在 ,虽然 可 以 采取 一 些 捞 施 也 以 缓解 ,但 仍 不 可 避免, 影 啊 网 络 整 
体 性 能 。 

那么 ,有 没有 一 种 动态 路 由 协议 能 够 打破 15 跳 的 距离 限制 ,更 好 地 适应 网 络 规模 的 扩 
展 和 提升 整体 网 络 性 能 ,日 彻 底 解 决 路 由 环 路 问题 呢 ? 

回答 是 肯定 的 。 作 为 先进 网 络 技术 的 引领 者 ,Cisco 公司 开发 出 一 种 能 够 适应 大 规模 
网 络 且 高 性 能 的 内 部 网 关 路 由 协议 , 即 增 强 型 内 部 网 关 路 由 协议 (Enhanced Interior 
Gateway Routing Protocol, EIGRP) ,这 是 一 秋 Cisco 私有 协议 ,也 是 一 种 混合 型 路 由 协议 ; 
它 具 有 距离 矢量 路 由 协议 的 特点 ,最 大 支持 255 跳 路 由 , 极 大 扩展 了 网 络 规模 ; 还 兼 有 链 路 
状态 路 由 协议 的 特点 ,能 够 迅速 构建 逻辑 无 环 结 构 , 实 现 快速 收敛 ,以 有 效 解 决 路 由 环 路 
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问题 。 
在 Cisco 网 络 环 境 中 ,EIGRP 协议 应 用 十 分 广泛 。 


6.1.2 EIGRP 术语 


EIGRP 协议 的 工作 原理 相对 RIP 要 复杂 很 多 ,涉及 如 下 关键 术语 : 

(D EIGRP, 增 强 型 的 IGRP 协议 , 即 表 度 改 民 、 优 化 IGRP 而 变 成 EIGRP。 因 此 ， 
Cisco 也 称 EIGRP 协议 为 增强 型 距离 天 量 路 由 选择 协议 。 

(2) 弥散 更 新 算法 (Diffusing Update Algorithm,DUAL), 是 一 个 快速 收敛 且 无 环 的 路 
由 计算 算法 ,用 于 选择 将 某 些 路 由 信息 存储 到 拓扑 表 中 和 路 由 表 中 。 因 此 ,DUAL WIRT 
用 于 完成 所 有 EIGRP 路 由 计算 的 决 寅 过 程 , 它 记录 邻居 通告 的 所 有 路 由 ,根据 度量 值 来 选 
择 到 每 个 目标 网 络 的 有 效 且 无 环 路 路 径 ,并 将 其 加 入 到 路 巾 表 中 。 

(3) 后 继 (Successor,S), 是 指 到 达 指 定 目 标 网 络 最 优 的 下 一 跳 邻 拓 路 由 疾 , 即 通过 该 后 
继 到 达 目 标 网 络 的 度量 值 (路 径 开 销 ) 最 低 CFD 最 小 ) ,是 无 环 路 ,后 继 将 作为 最 佳 路 由 加 入 
路 巾 表 ,用 来 转发 数据 包 。 如 果 存 在 多 个 后 继 , 则 均 加 入 路 由 表 ,实施 负载 均衡 ,如 果 多 个 后 
继 路 由 的 度量 值 相同 , 则 进行 等 价 负载 均衡 ,EIGRP 还 文 持 不 等 价 负 载 均 衡 。 

(4) 可 行 后 继 (Feasible Successor, FS) ,除了 后 继 路 由 外 ,DUAL 还 存储 前 往 每 个 目标 
网 络 的 备用 路 由 。 该 备用 路 由 的 下 一 跳 路 由 需 被 称 为 可 行 后 继 (CFS)。FS 是 指 除了 后 继 外 
的 到 达 目 标 网 络 最 近 的 路 由 ,是 备份 路 由 ,当前 没有 用 来 转发 数据 ,被 存 人 拓扑 表 中 , 当 后 继 
路 由 失效 时 ,能 够 马上 将 可 行 后 继 路 由 载 人 路 由 表 。FS 和 S 是 同时 选择 的 ,对 于 同一 目标 
网 络 ,拓扑 表 中 可 以 保存 多 条 可 行 后 继 。 

(5) 通告 距离 (Advertised Distance. AD) , 邻 导 路 由 天 通 告 它 到 达 目 标 网 络 的 距离 ( 度 
量 值 .开销 )。 

(60 可 行距 离 (Feasible Distance,FD) . A Ci Hi 28 $35 H tk II 28 B3 S^ E ES CRE mA, 
开销 )。 需 要 注意 的 是 , 目 己 到 达 目 标 网 络 的 路 由 可 能 有 很 多 条 ,其 中 最 小 的 那 条 是 FD。 
DUAL 通过 距离 来 选择 无 环 路 的 高 效 路 由 。 

(7) 可 行 性 条 件 (Feasible Condition): AD 一 FD, 即 通告 距离 要 小 于 可 行距 离 。 满 足 该 
条 件 的 路 由 才 是 可 行路 由 ,其 下 一 跳 即 可 行 后 继 , 被 加 入 拓扑 表 中 。 

(8) 路 由 表 , 路 由 表 只 添加 到 达 每 个 目标 网 络 的 最 佳 路 由 ,用 于 转发 数据 包 , 后 继 路 由 
被 存储 到 路 由 表 中 。 每 台 配 置 EIGRP 协议 的 路 由 器 都 维护 一 个 路 由 表 。 

(9) 邻居 表 ,EIGRP 路 由 器 使 用 Hello 包 来 发 现 邻 居 , 路 由 器 发 现 新 邻居 并 同 其 建立 邻 
拓 关 系 后 ,将 在 邻居 表 讨 加 一 个 条 目 , 其 中 包含 该 邻 届 的 地 址 以 及 可 到 达 该 邻居 的 接口 。 该 
表 能 够 确保 直 连 邻居 之 间 能 够 进行 双向 通信 ,每 台 配 置 EIGRP 协议 的 路 由 需 都 维护 一 个 

(10) JR Th € «PE H Ar 2] 2 0. I PALA Jets Je AE IR] 328 — 71 Je EH SR «RE ET PE H a Ap RE: 
邻居 的 路 由 表 存 储 在 上 月 己 的 EIGRP 拓扑 表 中 。 每 台 配 置 EIGRP 协议 的 路 由 需 都 维护 独 
一 个 拓扑 表 。 

(11) PJ iket WY (Reliable Transport Protocol. RTP) , f 31 EIGRP 数据 包 到 所 有 邻 
居 的 有 保证 和 按 顺 序 传输 ,并 确保 能 够 维持 在 相 邻 路 由 冀 间 正在 进行 的 通信 , 它 支 持 组 播 和 
单 播 传 送 数 据 包 的 混合 传输 。EIGRP 的 可 徘 传 输 协 议 确保 了 到 达 邻 居 路 由 右 的 关键 路 由 
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信息 的 传输 ,这些 信息 是 EIGRP 维护 逻辑 无 环 拓扑 结构 所 必需 的 ,所 有 传递 路 由 信息 (更 
新 查询. 应答) 的 数据 都 被 可 徘 地 传输 。 

(12) 协议 相关 模块 (Protocol Dependent Modules, PDM) ,PDM 负责 处 理 与 每 个 网 络 
层 协议 对 应 的 特定 路 由 任务 ,因而 文 持 多 种 不 同 的 网 络 层 协 以 (包括 IP、IPX 和 AppleTalk 
等 )。 如 IP-EIGRP 模块 负责 发 送 和 接收 在 IP 中 封装 的 EIGRP 数据 包 , 并 负责 使 用 DUAL 
来 建立 和 维护 IP 路 由 表 ; IPX-EIGRP 模块 负责 与 其 他 IPX EIGRP 路 由 器 交换 与 IPX 网 
络 相关 的 路 由 信息 ; EIGRP 针对 每 个 网 络 层 协议 使 用 不 同 的 EIGRP 数据 包 , 并 为 其 维护 
单独 的 邻 导 表 .拓扑 表 和 路 由 表 。 


6.2 EIGRP 协议 


EIGRP 是 一 种 Cisco 私有 ( 专 有 ) 协 以 ,同时 具备 距离 天 量 和 链 路 状态 路 由 协议 的 优 
点 。EIGRP 是 从 距离 天 量 路 由 协议 派生 而 来 ,其 行为 是 可 预测 的 ,多 于 配置 ,适用 于 各 种 网 
络 拓 扑 , 文 持 无 类 别 域 则 路 由 选择 (CIDR), 可 以 利用 CIDR 和 可 变 长 子 网 掩 码 (VLSM) 将 
地 址 空间 最 大 化 利用 ,收敛 速度 快 , 且 通过 弥散 更 新 算法 (DUAL) 可 确保 在 任何 时 候 都 能 够 
构建 逻辑 无 环 拓扑 ,彻底 解决 路 由 环 路 问题 。 

EIGRP 协议 的 AD 值 是 90, 要 优先 于 RIP 协议 。 当 路 由 需 启 动 EIGRP 协议 时 ,将 同 
步 邻 近 Router 的 路 由 表 , 随 后 仅 当 路 由 发 生变 化 时 DUAL 会 快速 地 反应 ,将 路 由 变化 的 部 
分 通告 出 去 ,而 不 是 整个 路 由 表 ; EIGRP 也 不 会 周期 性 地 通告 路 由 信息 以 节省 带宽 的 使 
用 ,EIGRP 协议 的 最 大 跳 计 数 为 255( 默 认 设置 为 100) ,非常 适合 于 在 特大 网 络 环境 中 应 
用 , 且 通 过 相关 协议 模块 可 以 文 持 多 种 网 络 层 协议 ,例如 IP 协议 和 IPv6 协议 。 


6.2.1 EIGRP 工作 原理 


EIGRP 是 一 种 最 典型 的 混合 路 由 协议 , 它 同 时 融合 了 距离 天 量 和 和 链 路 状态 两 种 路 由 选 
择 协议 的 优点 ,使 用 弥散 更 新 算法 (Diffusing Update Algorithm,DUAL) ,实现 了 协议 的 快 
速 收 但 和 很 高 的 路 由 性 能 。 

初始 运行 EIGRP 的 路 由 器 都 要 经 历 邻 居 发 现 、 学 习 网 络 拓 扑 、 选 择 路 由 的 过 程 ,在 这 
个 过 程 中 同时 建立 和 维护 三 个 独立 的 表 : 列 有 相 邻 路 由 颖 的 邻居 表 、 描 述 网 络 结 构 的 拓扑 
表 和 路 由 表 ,并 在 运行 过 程 中 当 网 络 拓扑 发 生变 化 时 更 新 这 三 个 表 。 


1. 建立 邻居 关系 (邻居 发 现 ,ND) 


配置 EIGRP 协议 的 两 台 路 申 硕 在 彼此 交换 路 由 信息 之 前 ,它们 必须 是 邻居 。 路 由 天 
之 间 建 立 邻 居 关 系 必 须要 满足 如 下 三 个 条 件 : 

(1) 收 到 Hello 数据 包 或 者 ACK 数据 包 。 中 由 各 日 开始 运行 起 ,就 不 断 地 用 组 播 地 址 
从 配置 EIGRP 的 各 个 接口 回 外 发 送 Hello 包 , 当 路 由 希 收 到 某 个 邻居 路 由 需 的 第 一 个 
Hello 包 时 ,以 单 播 方式 回 送 一 个 更 新 包 (Update) ,在 得 到 对 方 路 由 器 对 更 新 包 的 确认 包 
后 ,这 时 双方 建立 起 邻居 关系 ,并存 人 邻居 表 。 

(2) 具有 相同 的 自治 系统 (AS) 号 ,不 同 AS 号 的 路 由 需 之 间 无 法 共享 路 由 信息 ,需要 用 
到 外 部 网 关 路 由 协议 。 


123 


NA 


124 


N/A 
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(3) 具有 相同 的 度量 因素 和 度量 参数 。 
当 网 络 处 于 正常 情况 时 ,EIGRP 协议 不 会 周期 性 地 定时 发 送 路 由 更 新 信息 。 因 此 ,为 
— 的 邻居 关系 ,需要 持续 地 从 邻居 那里 获得 Hello 信息 
M EIGRP 发 现 一 个 新 邻居 并 通过 交换 Hello 信息 建立 邻居 关系 后 ， 需要 通告 它 的 整个 
路 由 表 ( 唯 一 一 次 ) ,以 后 只 通告 路 由 表 变 化 部 分 ,以 加 速 收 敛 .节约 网 络 市 锅 。 


2. 发 现 网 络 拓扑 ,选择 最 佳 路 由 


当 路 由 天 动态 地 发 现 了 一 个 新 邻居 时 ,也 获得 了 来 自 该 新 邻居 所 通告 的 路 由 更 新 信息 
(有 和 且 仪 有 第 一 次 通告 完整 的 路 由 表 , 以 后 都 只 通告 网 络 变 化 部 分 ) ,路 由 夷 将 获得 的 路 申 更 
新 信息 首先 与 拓扑 表 中 所 记录 的 信息 进行 比较 ,符合 可 行 条 件 的 路 由 被 放 入 拓扑 表 , 上 再 将 拓 
扑 表 中 经 过 DUAL 算法 计算 出 的 后 继 路 由 加 入 路 由 表 ; 如 果 有 多 条 可 行 后 继 路 由 的 度量 
值 在 所 配置 的 非 等 价 负 载 均 衡 的 倍数 范围 内 ,也 加 入 路 由 表 ; 否则 ,这 些 可 行 后 继 被 保存 在 
拓扑 表 中 作为 备份 路 由 。 如 果 路 由 天 通 过 不 同 的 路 由 协议 学 到 了 到 达 同 一 目的 地 的 多 条 路 
由 , 则 比较 路 由 协议 的 管理 距离 ,管理 距离 最 小 的 路 申 为 最 优 路 巾 。 


3. 路 由 查询 、 更 新 


当 路 由 信息 没有 变 bii EIGRP 邻居 间 只 是 通过 定期 发 送 Hello 包 来 维持 邻居 关系 ， 
以 减少 对 有 效 网 络 带宽 的 占 当 发 现 一 个 邻居 技 失 或 一 条 链 路 不 可 用 时 , 则 路 巾 硕 失去 
了 经 过 该 链 路 到 达 目 标 sienne EIGRP 会 立即 从 拓扑 表 中 将 可 行 后 继 加 入 路 由 表 
参与 数据 转发 ; 如 果 拓 扑 表 中 没有 可 行 后 继 路 由 , 则 EIGRP 将 该 失去 的 后 继 路 由 标记 为 活 
路 状态 ,是 一 条 不 可 用 的 路 由 ; 当 一 条 路 由 处 于 活跃 状态 时 ,路 由 器 问 邻 居 发 送 查 询 包 来 寻 
找 男 外 一 条 能 够 到 达 该 目标 网 络 的 路 由 ; 如 果 某 个 邻居 有 一 条 到 达 该 目标 网 络 的 路 由 , 那 
么 它 将 对 这 个 查询 进行 应 答 ,并 且 不 再 扩散 这 个 查询 ; 否则 , 它 将 进一步 地 癌 它 目 己 的 每 个 
邻居 查询 ,只 有 所 有 查询 都 得 到 应 签 后 ,EIGRP 才 重 启 DUAL 算法 重新 计算 路 由 ,选择 新 
的 后 继 路 由 。 

此 外 ,EIGRP 的 路 径 采 用 复合 度量 (Composite Metric) 方 法 ,涉及 五 个 度量 因素 ,分 别 
为 带宽 (bandwidth) .负载 (load) 、 延 时 (delay) ,可 靠 性 (reliability) ,最 大 传输 单元 (MTU)， 

EIGRP Metric 的 计算 方法 有 2 种 . 

(1) Metric =| K1 X bandwidth + ( (K2 X bandwidth)/(256—10ad))T K3 X delay | X 
256 ,此 时 K1—1.K2—0,K3—1,K4—0,K5—0; 

(2) Metric =| Kl X bandwidth + ( (K2 X bandwidth)/€(256 — load)) + K3 X dalay | X 
[K5/(reliablility +K4)] X256, 此 时 K1=1,K2=0,K3=1,K4=0,K5=1, 

默认 情况 下 ,EIGRP 采用 第 1 种 计算 方法 计算 度量 值 , 例 如 路 由 表 中 有 一 条 通过 
EIGRP 协议 学 到 的 路 由 如 下 : 


D 192.168.10.0/24 [90/2064000] via 10.136.15.1, 00;04;15, Serial 0/2/1 
bandwidth — 10 /所 经 由 链 路 中 人 口 带 宽 ( 单 位 为 kb/s) 的 最 小 值 ,delay 王 所 经 由 链 路 


中 入 口 的 延 时 为 (单位 ys) 总 和 /10。 
注意 : 链 路 带宽 和 延 时 可 以 通过 show interface 命令 查看 。 带 宽 为 所 经 由 链 路 的 最 小 
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带宽 ,在 本 例 中 ,Serial 0/2/1 的 带宽 为 128kb/s, 延 时 为 所 经 由 链 路 延 时 总 和 ,经 过 2 条 链 
路 , 延 时 为 (5000 十 20 000) ps, 

此 时 ,EIGRP 的 度量 值 为 L10 /128 十 (5000 十 20 0005/10] 256 — 20640000, BI 29 45 
中 的 L90/2 064 000]. 


6.2.2 EIGRP 的 特征 


运行 EIGRP 的 路 由 器 之 间 形 成 邻居 关系 ,并 交换 路 由 信息 。 相 邻 路 由 器 之 间 通 过 发 
送 和 接收 Hello 包 来 保持 邻居 关系 ,Hello 包 的 发 送 间 隔 默 认 什 为 5s。EIGRP 协议 具有 许 
多 优异 的 特征 ,如 表 6-1 所 示 。 


表 6-1 EIGRP 协议 特征 


特 征 ta 述 
私有 协议 Cisco 私有 协议 ,是 高 级 距离 矢量 路 由 协议 ,是 一 种 混合 型 路 由 协议 
EIGRP 使 用 市 宽 (Bandwidth)、 延 时 (Delay), 值 载 (Load), 可 徘 性 (Reliability)、 
复合 度量 最 大 传输 单元 (MTU) 作 为 度量 因素 ,默认 情况 下 ,只 使 用 市 宽 和 延 时 。EIGRP 


的 度量 值 是 256 ÆA IGRP 的 度量 值 , 因 而 EIGRP 具有 更 大 的 度量 值 范围 
EIGRP 采用 弥散 更 新 算法 (Diffusing Update Algorithm. DUAL), 能够 确保 


ps 100% 无 环 路 ,EIGRP 在 拓扑 表 中 保存 可 行 后 继 , 当 后 继 路 由 消失 后 ,可 行 后 继 
bci 马上 进入 路 由 表 
"mum EIGRP 的 基本 配置 与 IGRP 配置 方法 类 似 , 比较 简单 ,并且 EIGRP 和 IGRP 相 
配置 徐 m. - — 

互 兼容 

v EIGRP 采用 触发 更 新 ,减少 有 效 审 宽 占 用 ,而 不 像 RIP 那样 ,每 次 都 发 送 完整 的 

ih Js E i S 

路 由 表 
同 EIGRP 3€ Hi nJ 3€ f£ tiii B iX. (Reliable Transport Protocol, RTP) ,并 且 EIGRP 为 
n 3E tB gr 


每 个 邻居 都 保存 对 应 的 重 传 列表 ,确保 可 靠 更 新 
EIGRP 中 通过 发 送 和 接收 Hello 包 建 立 以 及 维持 邻居 关系 ,运行 在 EIGRP 的 路 
建立 邻居 关系 由 器 中 ,对 每 一 种 网 络 协议 ,都 维持 独立 的 3 张 表 , 即 路 由 表 、 邻 居 表 和 拓扑 表 ， 
EIGRP 存储 整个 网 络 拓扑 结构 的 信息 ,以 便 快 速 适应 网 络 变 化 
EIGRP 3: FH fx BibL iib. 38 nb BP X JH OS BS BR (Protocol Dependent Modules, 
文 持 多 种 网 络 协议 PDM), 实现 文 持 多 种 网 络 展 协议 ,例如 Apple talk, IP, IPX, Novell 和 


NetWare 等 
支持 VLSM fil CIDR | EIGRP 是 无 类 路 由 协议 ,支持 可 变 长 子 网 掩 码 (VLSM) 和 无 类 域 则 路 由 (CIDR) 
可 手动 汇总 EIGRP 默认 开启 自动 汇总 功能 ,但 同时 它 能 够 关闭 自动 汇总 ,支持 手动 汇总 
组 播 更 新 EIGRP 可 以 使 用 单 播 进 行路 由 更 新 ,另外 也 可 以 使 用 组 播 更 新 ,用 于 替代 广播 
更 新 。EIGRP 使 用 的 组 播 地 址 是 224. 0. 0. 10 
- EIGRP 支持 等 价 和 不 等 价 的 负载 均衡 。RIP 和 OSPF 支持 等 价 负 载 均衡 ,但 不 
支持 负载 均衡 


支持 不 等 价 负载 均衡 


6.2.3 EIGRP 三 个 表 


配置 EIGRP 协议 的 路 由 需 都 要 创建 和 维护 邻居 表 .拓扑 表 和 路 由 表 , 其 关系 如 图 6-1 
所 示 。 
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下 一 跳 路 由 器 | 接口 | 
包含 与 当前 路 由 器 直接 相连 且 建 
立 了 邻居 关系 的 EIGRP 路 由 器 


^ mEHE ë 
最 佳 路 由 

包 舍 来 目 EIGRP 拓 扑 表 和 其 
他 路 由 选择 进程 的 最 佳 路 由 


图 6-1 


1. EIGRP 邻居 表 


IP EIGRP 拓 扑 表 
包含 从 所 有 EIGRP 邻 


居所 获悉 的 所 有 路 由 


EIGRP 维护 的 三 个 表 的 关系 


邻居 表 包 括 每 个 邻居 路 由 融 的 IP 地 址 以 及 可 以 前 往 该 邻居 路 由 需 的 接口 ,邻居 表 还 包 
* I RTP 所 需 的 信息 ,往返 定时 融 存 储 在 邻 届 表 条 目 中 ,用 于 估算 最 佳 的 重 传 时 间 间 隔 。 
使 用 命令 Router # show ip eigrp neighbors 可 以 查看 EIGRP 的 邻居 表 。 


Router # show ip eigrp neighbors 
EIGRP-IPv4 Neighbors for AS(110) 


H Address Interface Hold Uptime 
下 EtO/1 12 00:00:33 
0 3202 12.1 EtO/0 10 00:00:37 


2. EIGRP 拓扑 表 


SRTT 
(sec) 
1993 
1595 


RTO 

(ms) 
5000 
5000 


Q Seq 
Cnt Num 
0 3 
0 3 


EIGRP 协议 启动 ,路 由 需 之 间 建 立 邻 居 关 系 后 ,路 由 需 会 将 自己 的 完整 路 由 表 ( 唯 一 的 
一 次 完整 路 由 表 ) 发 送 给 EIGRP 邻居 表 中 的 所 有 邻居 ,邻居 路 由 器 收 到 路 由 表 后 将 其 存储 
到 EIGRP 拓扑 表 中 。 拓 扑 表 中 还 包含 邻 居 通 告 的 前 往 每 个 目标 网 络 的 度量 值 (AD) 以 及 经 


由 该 邻居 前 往 目 的 地 址 的 度量 值 (FD)。 


使 用 命令 Router show ip eigrp topology all-links 可 以 查看 EIGRP 的 拓扑 表 中 的 所 


有 IPH. 


Router # show ip eigrp topology all- links 


EIGRP-IPv4 Topology Table for AS(110)/ID(23. 23. 23.2) 
Codes: P — Passive, A — Active, U - Update, Q - Query, R - Reply, 


r — reply Status, 5 一 538 Status 


P 23.23.23.0/24, 1 successors, FD is 281600, serno 2 


via Connected, Ethernet0/1 


P 12.12.12. 0/24, 1 successors, FD is 281600, serno 1 


via Connected, Ethernet0/0 


3. EIGRP 路 由 表 


Bit; EIGRP MAAAR EIGRP 拓扑 表 , 在 拓扑 表 中 运行 DUAL 算法 ,确定 
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个 目标 网 络 的 后 继 ( 最 佳 路 由 ) 和 可 行 后 继 ( 备 份 路 由 ) ,并 将 后 继 路 由 条 目 加 入 路 由 表 中 ,可 
行 后 继 继 续 保 留 在 拓扑 表 中 ， 
使 用 命令 Router # show ip route eigrp 可 以 查看 EIGRP 的 路 由 表 中 的 所 有 路 由 条 目 。 


Router # show ip route eigrp 
Codes: L — local, C — connecLed, 5 — static, R — RIP, M — mobile, B — BGP 
D — EIGRP, EX — EIGRP external, O - OSPF, IA - OSPF inter area 
N1 — OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 
El 一 OSPF external type 1, E2 - OSPF external type 2 
i — I5- IS, su — IS- IS summary, Ll — IS- IS level-1, L2 — I5- IS level —2 
ia — IS- IS inter area, * -— candidate default, U - per-user static route 
o — ODR, P - periodic downloaded static route, H - NHRP, l - LISP 
Gateway of last resort is not set 
1.0.0.0/24 is subnetted, 1 subnets 


D 1.1.1.0 [90/409600] via 12.12.12.1, 00:00:42, Ethernet0/O0 
3.0.0.0/24 is subnetted, 1 subnets 
D 3.3.3.0 [90/409600] via 23.23. 23.3, 00:00:04, Ethernet0/1 


6.2.4 EIGRP 数据 包 类 型 
EIGRP 的 数据 包 共 有 下 面 5 种 类 型 。 
1. Hello 


EIGRP 使 用 Hello £12K A HE, 9 ERI E r Ac Bp JS P H Aro EIGRP 以 固定 时 间 间 隅 、 
通过 使 用 组 播 地 址 224.0. 0. 10 发 送 Hello 包 给 邻居 ,邻居 收 到 后 无 须 确认 。 在 邻居 表 中 包 
含 一 个 “保持 时 间 ” 字 段 , 记 录 了 最 后 收 到 Hello 包 的 时 间 。 如 果 EIGRP 路 由 器 在 保持 时 间 
间隔 内 没有 收 到 邻居 路 由 需 的 任何 Hello 包 , 则 认为 这 个 邻居 失效 ,将 从 本 地 拓扑 表 里 删除 
通过 该 邻居 获得 的 所 有 路 由 。 

默认 情况 下 ,保持 时 间 是 Hello 包间 隔 的 3 倍 , 链 路 带宽 小 于 或 等 于 1. 544Mb/s 的 ,如 
多 点 帧 中 继 链 路 , Hello € W Bà Jy 60s, 保 持 时 间 为 180s; 链 路 带宽 大 于 1. 544Mbys 的 ,如 
T1 链 路 ,以 太 网 等 ,Hello 包间 隔 为 5s, 保 持 时 间 为 15s。 


2. Update 

Update HEIE jr eL. EA HH Ar Ac AUT HE AD s E fS f HH EEL, — fi EIGRP P$ H $8 
问 新 的 邻居 发 送 单 播 更 新 包 使 之 可 以 被 加 入 到 拓扑 表 中 。 当 路 由 各 检测 到 拓扑 变化 时 间 所 
有 邻居 发 送 组 播 更 新 来 通告 网 络 的 变化 。 所 有 的 单 播 更 新 或 组 播 更 新 包 必 须 使 用 可 徘 传 输 
协议 。 

3. Query 

Query 包 即 查询 包 。 当 EIGRP Jt FH fi mi 2e M A — A ox H- fU Pi HH Ar E IRS XE IE FH HT. 
使 用 查询 包 。 如 果 一 台 EIGRP HAR A 26 2& Pit HH HJ 2E 3E H8 n £18 2E]. DUAL 
算法 则 将 该 路 由 置 为 活动 状态 ; DA Jes etr HH 19] Hr. b Jas 2H d 2308 A VR] BÀ, i PS] RC XE. D BE 
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够 到 达 目 标 网 络 的 后 继 。 不 管 是 单 播 还 是 组 播 的 查询 包 , 都 需要 被 确认 ,都 必须 使 用 可 徘 传 
t DX 


4. Reply 


Reply f£ Bl w E 6L. XER JE ri H n H3) c A LEIT LA BLOK H ER 48 Pe din o JP Bone 
kw 


5. ACK 


ACK 包 即 确认 包 。EIGRP 路 由 器 在 交互 期 间 , 使 用 确认 包 来 表示 收 到 了 EIGRP 数据 
包 。EIGRP 接收 路 由 器 必须 确认 发 送 者 的 消息 ,保证 在 路 由 器 间 提 供 可 靠 的 通信 。 与 多 播 
的 Hello 包 不 同 , 确 认 包 仅 单 播 传输 ,只 发 往 特定 的 路 由 磊 。 为 了 提高 效率 ,确认 包 也 可 以 
搭载 在 其 他 类 型 的 EIGRP 数据 包 上 ,如 应 答 包 。 


6.2.5 EIGRP 命令 语法 
1. EIGRP 配置 命令 


EIGRP 协议 也 是 一 种 动态 路 由 协议 ,配置 方法 和 RIP 类 似 , 在 全 局 配置 模式 下 进入 
EIGRP 路 由 协议 进程 ,然后 将 直 连 路 由 宣告 到 EIGRP 协议 。 配 置 命 令 如 下 : 


Router(config) 4 router eigrp [autonomous system number] 
Router(config- router) # network [destination network] [wildcard mask] 


Router(config- router) # end 


其 中 : 

(1) autonomous system number; 目 治 系统 号 ,注意 ,同一 个 网 络 内 的 所 有 路 由 融和 都 
要 求 配置 相同 的 目 治 系统 号 ,否则 就 要 采用 外 部 网 关 路 由 协议 了 。 

(2) destination network: 目标 网 络 地 址 ,这 里 配置 将 要 宣告 到 协议 的 所 有 下 连 网 络 。 

(3) wildcard mask: 通 配 伯 掩 人 码 , 路 由 兹 使 用 通配符 掩 人 码 与 源 或 目标 地 址 一 起 来 精确 
匹配 IP 3t db yG Hl, E -ST Pd dá 3 8 F8] . Fe Pd fü £3 URP Hs IP 地 址 的 哪 一 位 属于 网 络 号 ， 
Tij 38 BOT TE 3 dr Yr HI 282J f EE, E dur IP 地 址 中 的 哪些 位 。 通 配 符 掩 码 从 左 
边 高 位 开始 标记 为 0, 表示 严 格 匹配 该 位 ,如 果 标 记 为 1, 表 示 该 位 对 应 的 IP 地 址 可 以 是 1 
也 可 以 是 0。 

例如 ,EIGRP 协议 配置 举例 如 下 : 


Rl(config) # router eigrp 100 

Ri(config-router) it network 192.168.1.0 0.0.0.255 
Rl(config- router) # network 192.168.2.0 0.0.0.255 
Rl(config-router) # network 192.168.3.0 0.0.0.255 
Ri(config-router) # network 172.16.12.0 0.0.0.255 
Rl(config-router) # network 172.16.13.0 0.0.0.255 
Rl(config-router) # exit 
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上 述 命令 表明 ,在 路 由 右上 使 用 EIGRP 协议 ,上 月 治 系统 号 为 100 ,路 由 天 将 宣告 网 络 号 
为 192. 168. 1. 0,192. 168. 2. 0,192. 168. 3. 0,172. 16. 12. 0,172. 16. 13. 0 共 五 个 网 络 到 
EIGRP 协议 , 


2. 删除 已 配置 的 EIGRP 


要 删除 一 条 EIGRP 配置 时 ,只 需要 在 宣告 网 络 时 ,在 配置 命令 前 面 加 no, 其 他 部 分 保 
持 不 变 o 形式 如 下 * 
Router(config) # router eigrp 100 


Rl(config-router) # no network 192.168.1.0 0.0.0.255 
Rl(config-router) # no network 192.168.2.0 0.0.0.255 


或 者 直接 删除 所 有 的 EIGRP 路 由 配置 信息 ,直接 使 用 以 下 命令 即 可 : 


Router(config) € no router eigrp 100 


6.2.6 EIGRP 协议 总 结 


EIGPR 协议 可 以 总 结 为 如 下 5 个 要 点 : 
(1)“1” 个 条 件 : AD 一 FD ,可 行 性 条 件 。 
(2)“2” 个 概念 ; S/FS,AD/FD。 

(3)“3? 个 表 : BER MIR MARK., 
(4)“4” 大 特色 : ND. PDM .DUAL 、RTP。 
(5)“5” 个 包 ， Hello 更新. 查询、 应答、ACK 。 


6.3 EIGRP 协议 配置 与 测试 方法 


6.3.1 实验 内 容 
1. 实 验 拓扑 


本 实例 的 拓扑 结构 图 如 图 6-2 所 示 , 计 算 机 学 院 、 通 信和 学 院 和 上 自动 化 学 院 , 每 个 学 院 的 
边界 都 有 一 台 路 由 带 , 分 别 为 R1.R2 和 了 R3, 这 些 路 由 融 两 两 之 间 通 过 串口 线 连接 ,将 三 个 
学 院 组 成 一 个 网 络 ,共享 学 院 资源 。 在 RI 上 设置 三 个 回环 接口 Loopbackl,Loopback2 和 
Loopback3 ,在 R3 上 设置 一 个 回环 接口 Loopback0, 使 用 EIGRP 协议 实现 三 个 学院 的 互联 
互通 。 


2. 实验 需求 


CD 对 各 路 由 硕 进 行 基础 配置 并 改名 ,接着 配置 各 个 接口 的 IP 地 址 与 状态 。 配 置 完成 
后 ,可 以 用 CDP 协议 确认 是 否 按照 拓扑 正确 连接 。 然 后 ,可 以 用 show ip interface brief 查 
看 各 接口 IP 地 址 与 状态 。 
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192.168.1.1/24 dE 
Loopback 1 C) | | ] 通信 学 院 
yon — Pa S0/2/0 


192.168.2124 GV die 8 
Loopback 2 | | 


172.16.23.0/24 
x 
v 
mh 17 | 
t i OF 
eu 16130), p S0/2/1 
SUP >z 
Y = 目 动 化 学 院 


192.168.4.1/24 
Loopback 0 


图 6-2 EIGRP 协议 示例 拓扑 图 
(2) fE— & EHI 28S Ec EIGRP 协议 。 
3. 注意 事项 


(1) 与 RIP 一 样 ,EIGRP 最 多 允许 6 条 等 价 路 由 同时 装 人 路 由 表 。 

(2) Hello 间 隅 被 修改 后 ,保持 时 间 并 不 会 上 月 动 地 相应 调整 ; 因此 ,修改 Hello 间隔 后 ， 
必须 手动 调整 保持 时 间 。 

(3) EIGRP 发 送 部 分 更 新 而 不 是 定期 更 新 , 且 仅 在 路 由 的 路 径 或 度量 值 发 生变 化 时 才 
发 送 , 更 新 中 只 包含 已 变化 的 链 路 信息 ,而 不 是 整个 路 由 表 , 此 外 ,还 自动 限制 这 些 部 分 更 新 
的 传播 ,只 将 其 传输 给 需要 的 路 由 器。 

(4) EIGRP 使 用 DUAL 来 计算 前 往 目 的 地 的 最 佳 路 由 。DUAL 根据 复合 度量 值 来 选 
择 后 继 和 可 行 后 继 , 并 确保 选择 的 路 由 没有 环 路 。 

(5) EIGRP 手动 汇总 是 在 接口 模式 下 配置 。 

(6) EIGRP 文 持 在 任意 世 点 上 手动 汇总 路 由 表 。 


6.3.2 实验 配置 


1) 基本 配置 

基本 配置 在 之 前 章节 已 经 详细 讨论 过 ,这 里 就 不 再 一 一 讲解 。 

2) 在 三 台 路 由 关上 配置 EIGRP 协议 

LA R1 为 例 ,R1 与 192. 168. 1. 0/24 等 五 个 网 络 相 连 ,因此 配置 EIGRP 时 , 需 配 置 这 五 
个 网 络 。 如 


Rl(config) # router eigrp 100 

Rl(config-router) # network 192.168.1.0 0.0.0.255 
Rl(config-router) # network 192.168.2.0 0.0.0.255 
Rl(config-router) # network 192.168.3.0 0.0.0.255 
Rl(config-router) # network 172.16.12.0 0.0.0.255 
Rl(config-router) # network 172.16.13.0 0.0.0.255 
Rl(config-router) # end 
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注意 ; router eigrp 100, 其 中 编号 100 是 自治 系统 (AS) 号 ,全 网 必须 一 致 , 才 可 以 相互 
通信 。 

同 理 , 路 由 器 R2 配置 172. 16. 12.0 和 172. 16. 23. 0 两 个 网 络 。 路 由 器 R3 上 配置 172. 
16. 13.0 和 172. 16. 23. 0 两 个 网 络 。 

各 路 由 器 上 配置 完 EIGRP 后 ,可 以 查看 路 由 表 , 这 里 以 路 由 器 RI 为 例 。 


R1 # show ip route 
(部 分 内 容 省 略 ) 
172.16.0.0/16 is variably subnetted, 4 subnets, 2 masks 
D 172.16.23.0/24 [90/21024000] via 172.16.13.3, 00:00:06, Serial0/0/0 
[90/21024000] via 172.16.12.2, 00:00:06, Serial0/0/1 
172.16.12.0/24 is directly connected, Serial0/0/1 
172.16.13.0/24 is directly connected, Serial0/0/0 
172.16.0.0/16 is a summary, 00:00:06, NullO 
198.168.2.0/24 is directly connected, Loopback2 
192.168.1.0/24 is directly connected, Loopbackl 
192.168.3.0/24 is directly connected, Loopback3 


Q OQO 02 O0 0 


以 DD 开头 的 内 容 为 通过 EIGRP 协议 学 习 到 的 内 容 。 
EGIRP 配置 完成 测试 连通 性 ,这 里 以 R1 的 Loopbackl 为 源 ping R3 的 Loopback 0 为 例 。 


R1 # ping 192.168.4.1 source loop 1 

Type escape sequence to abort. 

Sending 5, 100- byte ICMP Echos to 192.168.4.1, timeout is 2 seconds: 
Packet sent with a source address of 192.168.1.1 


Success rate is 100 percent (5/5), round-trip min/avg/max - 28/29/32 ms 


3) 查看 协议 信息 


R1 # show ip protocols 
Routing Protocol is "eigrp 100" 
Outgoing update filter list for all interfaces is not set 
Incoming update filter list for all interfaces is not set 
Default networks flagged in outgoing updates 
Default networks accepted from incoming updates 
EIGRP metric weight Kl = 1, K2-0, K3=1, K4-0, K5-0 
EIGRP maximum hopcount 100 
EIGRP maximum metric variance 1 
Redistributing: eigrp 100 
EIGRP NSF — aware route hold timer is 240s 
Automatic network summarization is in effect 
Automatic address summarization: 
192.168.3.0/24 for Serial0/0/1, Loopbackl, Serial0/0/0 
Loopback2 
192.168.2.0/24 for Serial0/0/1, Serial0/0/0, Loopbacki 
Loopback3 
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192. 168. 1. 0/24 for Serial0/0/1, Loopback3, Serial0/0/0 
Loopback2 
172.16.0.0/16 for Loopbackl, Loopback3, Loopback2 
Summarizing with metric 20512000 
Maximum path: 4 
Routing for Networks: 
172.16.12.0/24 
172.16.13.0/24 


192.168.1.0 
192.168.2.0 
192.168.3.0 
Routing Information Sources: 
Gateway Distance Last Update 
(this router) 90 00:06:38 
Gateway Distance Last Update 
172.16.12.2 90 00:06:47 
172 Ub. T3. 3 90 00:06:47 


Distance: internal 90 external 170 


4) 查看 接口 信息 
通过 以 下 命令 可 以 看 到 EIGRP 相关 接口 信息 。 


R1 show ip eigrp interface 


例如 : 


R1 # show ip eigrp int 

IP — EIGRP interfaces for process 100 

Xmit Queue Mean Pacing Time Multicast Pending 

Interface Peers Un/Reliable SRTT Un/Reliable Flow Timer Routes 


Se0/0/1 1 0/0 12 5/190 242 0 
Se0/0/0 1 070 9 5/190 234 0 
Lol 0 0/0 0 0/1 0 0 
Lo3 0 0/0 0 0/1 0 0 
Lo2 0 0/0 0 0/1 0 0 


5) 查看 邻 后 表 


R1 # show ip eigrp neighbors 


通过 以 下 命令 可 以 看 到 EIGRP 邻居 表 信 息 。 
例如 : 


R1 # show ip eigrp neighbors 
IP - EIGRP neighbors for process 100 


H Address Interface Hold Uptime SRTT RTO Q Seq 
(sec) (ms) Cnt Num 

1 172.16.12.2 Senor 10 00:15:56 12 1140 0 15 

0 172.16.13.323 Se0/0/0 11 00:42:05 9 1140 0 13 


Address 为 当前 路 由 着 的 IP 地 址 ,Interface 为 对 应 的 接口 。 
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6) 查看 拓扑 表 
通过 以 下 命令 可 以 看 到 EIGRP 拓扑 表 信 息 。 


R1 # show ip eigrp topology 


例如 : 


R1 # show ip eigrp topology 
IP- EIGRP Topology Table for AS(100)/ID(172.16.12.1) 
Codes: P - Passive, A - Active, U - Update, Q - Query, R - Reply, 
r — reply Status, s 一 sia Status 
P 192.168.1.0/24, 1 successors, FD is 128256 
via Connected, Loopbackl 
P 192.168.2.0/24, 1 successors, FD is 128256 
via Connected, Loopback2 
P 192.168.3.0/24, 1 successors, FD is 128256 
via Connected, Loopback3 
P 172.16.23.0/24, 2 successors, FD is 21024000 
via 172.16.12.2 (21024000/20512000), Serial0/0/1 
via 172.16.13.3 (21024000/20512000), Serial0/0/0 
P 172.16.12.0/24, 1 successors, FD is 20512000 
via Connected, Serial0/0/1 
P 172.16.13.0/24, 1 successors, FD is 20512000 
via Connected, Serial0/0/0 
P 172.16.0.0/16, 1 successors, FD is 20512000 
via Summary (20512000/0), NullO 


7) XH] H Sn 5 o HH SHE s 


Rl(config) # router eigrp 100 

Rl(config-router) # no auto- summary [RA Bm E d 
Rl(config-router) # int s0/0/0 

Rl(config- if) # ip summary eigrp 100 192.168.0.0 255.255.252.0 // 在 接口 模式 下 启用 手动 汇总 
Rl(config)itint s 0/0/1 

Rl(config- if) # ip summary eigrp 100 192.168.0.0 255.255.252.0 

Rl(config-if) # exit 
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R1 # show ip route 
172.16.0.0/24 is subnetted, 3 subnets 
D 172.16.23.0 [90/21024000] via 172.16.13.3, 00:21:09, Serial0/0/O0 
[90/21024000] via 172.16.12.2, 00:21:09, Serial0/0/1 
172.16.12.0 is directly connected, Serial0/0/1 
172.16.13.0 is directly connected, Serial0/0/0 
192.168.1.0/24 is directly connected, Loopback1 
192.168.2.0/24 is directly connected, Loopback2 
192.168.3.0/24 is directly connected, Loopback3 
192.168.0.0/22 is a summary, 00:01:01, NullO 


co QQQ 


V 路 由 交换 技术 与 实验 
以 下 为 手动 汇总 信息 : 


D 192.168.0.0/22 isa summary, 00:01:01, Null0 


6.3.3 实验 结果 分 析 
t HI a LUE o6 EIGRP 后 的 路 由 表 , 这 里 以 计算 机 学院 的 路 由 疾 RI 为 例 。 


R1 # show ip route 

(部 分 内 容 省 略 ) 

172.16.0.0/16 is variably subnetted, 4 subnets, 2 masks 

172.16.23.0/24 [90/21024000] via 172.16.13.3, 00:00:06, Serial0/0/0 
[90/21024000] via 172.16.12.2, 00:00:06, Serial0/0/1 

172.16.12.0/24 is directly connected, Serial0/0/1 

172.16.13.0/24 is directly connected, Serial0/0/0 

172.16.0.0/16 is a summary, 00:00:06, NullO 

198.168.2.0/24 is directly connected, Loopback2 

192.168.1.0/24 is directly connected, Loopback1 

192.168.3.0/24 is directly connected, Loopback3 


- 


EX 0 Do XC r3 co 


以 D 开头 的 路 由 表 条 目 为 通过 EIGRP 协议 学 习 到 的 内 容 。 


D 172.16.23.0/24 [90/21024000] via 172.16.13.3, 00:00:06, Serial0/0/0 


注意 : 该 汇总 路 由 指向 Nullo 接口 ,目的 是 防止 路 由 环 路 。 妆 数据 包 依 据 选 路 三 原则 
匹配 不 到 详细 路 由 条 目 , 但 匹配 到 该 汇总 路 由 条 目 时 ,数据 包 会 被 Null0 丢弃 ,从 而 避免 路 
由 环 路 。 


6.3.4 HEED 


配置 完 EIGRP 协议 后 ,如 果 网 络 发 生 故 障 , 则 导致 网 络 不 通 的 原因 有 很 多 ,除了 前 面 
草 广 提 到 一 些 人 简单 的 问题 之 外 ,还 需要 考虑 如 下 一 些 问 题 . 

(OD 自治 系统 AS 号 是 否 一 致 ? 

(2) 接口 地 址 或 者 通配符 掩 码 ( 反 掩 码 ) 配 置 是 否 正 确 ? 

(3) 自动 汇总 是 否 对 VLSM 产生 影响 ? 

(4) 度量 参数 中 K 值 是 否 相 同 ? 

(5) 常用 的 查看 命令 

debug eigrp packet: 显示 EIGRP 数据 包 的 活动 行为 。 

show ip eigrp neighbors: 查看 EIGRP 的 邻居 表 。 

show ip eigrp topology: 查看 EIGRP 的 拓扑 表 。 

show ip eigrp route: 查看 EIGRP 的 路 由 表 。 
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6.4 ”实战 演练 


-— 
1. 实战 拓扑 图 


本 实战 拓扑 图 如 图 6-3 所 示 , 某 高 校 工科 有 计算 机 学 院 . 通 信 学 院 、 信 息 学 院 和 网 络 空 
间 安 全 学 院 共 四 个 党 院 ,每 个 学 院 的 边界 和 痢 有 一 人 台 路 由 部 ,分 别 为 R1、R2、R3 和 了 4, 这 些 路 
FH i P3 PA z^ [H] 3E E FB. O X YE Be ,将 四 个 等 院 组 成 一 个 网 络 , 共 旦 尝 院 质 源 。 态 外 ,每 侣 路 由 
秀 还 设置 一 个 环 回 接口 用 于 测试 ,计算 机 学 院 R1 连接 PC1 用 于 测试 。 


自学 院 3.3.3.3/32 
全 Eo loopback 3 


ee 
—- 


ID 4627055 | 2222/32 | S0/2/1 
loopback 0 N loopback 2 Q S0/2/0 
192.1682.1/32. J u 
oki Eaa 2121204 = 


计算 机 学 院 通信 学 院 50/0/0 | 
24.24.24.0/24 


S0/2/0 
dans anms 4.4.4.4/32 
网 络 空间 安全 学 院 


图 6-3 EIGRP 实战 拓扑 


2. 实战 需求 


(OD 在 各 目 路 由 郑 上 进行 基本 配置 ,包括 路 由 需 名 称 .接口 IP 地 址 等 ,并 测试 二 连 链 路 
连通 性 。 

(2) 分 析 路 由 ,确定 每 台 路 由 关上 需要 配置 哪些 路 由 。 然 后 为 整个 网 络 配置 EIGRP Hh 
议 ,要 求 能 够 全 网 ping 3H , 

(3) 查看 EIGRP 的 邻居 表 .拓扑 表 以 及 路 由 表 ,并 分 析 所 获得 的 结果 。 

(4) 将 EIGRP 的 自动 汇总 功能 关闭 ,查看 路 由 表 的 变化 情况 。 

(5) 在 Rl1 的 S0/2/1 接口 上 手动 汇总 ,要 求 在 别 的 路 由 器 中 只 能 看 到 一 条 最 精确 的 
路 由 . 

(6) 将 R2 的 S0/0/0 接口 关闭 ,观察 RA 上 路 由 表 变 化 。 

(7) Æ R4 上 开启 debug eigrp packets ,然后 打开 R2 的 S0/0/0 接口 ,观察 RA. 上 信息 的 
变化 并 分 析 原 因 。 

(8) 实验 拓展 ,在 图 6-3 的 基础 上 ,在 R3 和 R4 之 间 添 加 一 条 以 太 网 链 路 ,并 宣告 进 
EIGRP 路 由 ,以 实现 EIGRP 非 等 价 负载 均衡 ,如 图 6-4 所 示 。 

(9) 使 用 以 下 命令 ,在 R3、R4 上 开启 不 等 价 负 和 载 均衡 ,观察 信息 学 院 的 路 由 器 R3 到 网 
络 空间 安全 学 院 的 路 由 器 R4 环 回 接口 4.4. 4.4 的 路 由 表 , 并 分 析 路 由 条 目的 变化 情况 (不 
等 价 负载 均衡 的 条 件 : FDI— FD2)., 
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图 6-4  EIGRP 实战 拓展 拓扑 图 


R3(config) # router eigrp 100 


R3(config-router) # variance 10 // 接 口 带 宽 差 值 在 10 倍 以 内 
R3(config-router) # traffic- share balanced /7/ 人 允许 不 等 价 负 载 均衡 


注意 : 先 需要 将 两 台 路 由 器 的 快速 以 太 网 接口 带宽 改 为 1Mb/s, 在 接口 模式 下 使 用 命 
Z- bandwidth 1000 PP "T, 


3. 思考 题 
CD 在 没有 关闭 日 动 汇总 前 ,在 R2 上 ping Pit Hi 2s R4 的 Loopback 接口 会 有 什么 现象 ? 
为 什么 ? 


(2) 将 R1 上 Loopback 接口 所 在 网 段 进行 手动 汇总 后 的 精确 路 由 是 什么 ? 
(3) 配置 完 负 载 均衡 后 ,观察 R3 到 4.4.4. 4 有 多 少 条 路 由 条 目 ,并 试 说 明理 由 。 


P ü à 
d w 
习题 与 思考 


1. 同样 都 是 动态 路 由 协议 , 相 比 RIP 协议 .EIGRP 协议 有 何 相 似 之 处 ? 有 什么 优势 ? 
这 些 优势 主要 体现 在 哪些 方面 ? 这 些 方 面 你 都 能 理解 清楚 吗 ? 

2. EIGRP 的 工作 原理 是 什么 ? 度量 机 制 是 什么 ? 这 种 度量 方法 与 RIP 相 比 ,在 算法 
实现 方面 有 什么 不 同 ? 

3. 你 们 学 校 的 校园 网 能 使 用 EIGRP 吗 ? 为 什么 ? 

4. 配置 好 EIGRP 协议 的 网 络 , 发 现 源 端 主机 ping 不 通 目 的 端 主机 ,一 般 导 致 这 个 问 
题 会 有 哪 几 种 原因 ? 你 会 排 错 吗 ? 会 的 话 把 排 错 的 思路 总 结 出 来 和 大 家 分 享 吧 。 


FAIRA ERE d 
优先 协议 及 配置 万 法 


本 章 学 习 一 种 开放 式 的 动态 路 由 协议 ,开放 式 最 短路 径 优 先 协议 ,所 有 设备 供应 商都 支 
持 该 协议 ,是 典型 的 链 路 状态 路 由 协议 ,具有 扩展 性 好 、 触 发 更 新 ,快速 收 化 等 诸多 优势 。 首 
先 介 绍 为 什么 需要 开放 式 最 短路 径 优 先 协 议 , 接 着 介绍 相关 术语 、 基 本 概念 和 工作 原理 , 然 
后 介绍 协议 的 配置 和 测试 方法 ,最 后 给 出 实战 演练 项 目 。 


7.1 为 什么 需要 OSPF 


本 布 回 同学 们 介绍 为 什么 需要 使 用 开放 式 最 短路 径 优先 协议 (OSPF) ,以 及 其 基本 概 


7.1.1 OSPF 之 问 


通过 第 6 章 的 学 习 , 了解 到 EIGRP 协议 是 Cisco 私有 协议 ,其 他 供应 商 的 设备 不 支持 
该 协议 ,因此 其 应 用 受到 明显 的 局 限 。 此 外 ,RIP 协议 和 EIGRP 协议 都 属于 扁平 拓扑 结构 ， 
当 网 络 规模 不 断 扩大 时 ,路 由 表 的 条 目 数量 迅速 增长 ,导致 路 由 更 新 和 收敛 时 间 延 长 , 且 消 
耗 大 量 有 效 带 宽 。 因 此 ,有 没有 一 种 路 由 协议 能 够 解决 上 述 问 题 呢 ? 答案 是 肯 征 的 。 

IETF 在 20 世纪 80 年 代 末 期 开发 出 一 种 开放 式 最 短路 径 优先 (Open Shortest Path 
First,OSPF) 协 议 ,是 一 种 典型 的 链 路 状态 路 由 协议 , 仍 属 于 内 部 网 关 路 由 协议 (IGP) 范 畴 ， 
故 和 下 IP、EIGRP 一 样 运行 于 月 治 系统 内 部 ,通过 收集 和 传递 上 月 治 系统 的 链 路 状态 来 动态 
地 发 现 并 传播 路 由 ,非常 适合 校园 网 设计 。OSPF 采用 Dijkstra 算法 计算 最 短路 径 树 ,构建 
逻辑 无 环 结 构 , 快 速达 到 收 伊 状 态 , 有 效 解 决 路 巾 环 路 问题 。 在 校园 网 .园区 网 络 甚至 更 大 
型 局 域 网 里 部 署 OSPF 协议 还 有 一 个 重要 原因 ,就 是 OSPF 提出 了 了 区域”"(Area) 的 概念 ， 
一 个 网 络 可 以 巾 单一 区 域 或 者 多 个 区 域 组 成 ,其 中 一 个 特别 的 区 域 被 称 为 骨干 区 域 , 是 
OSPF 的 核心 。 例 如 校园 网 的 核心 层 网 络 是 骨干 区 域 , 其 他 区 域 都 百 接连 接 到 骨干 区 域 ,不 
能 直接 连接 的 可 以 通过 其 他 区 域 间接 连接 到 骨干 区 域 ,构建 层次 型 OSPF 网 络 ,使 得 OSPF 
网 络 具 有 极其 灵活 的 扩展 能 力 ,非常 适合 不 断 问 纵深 发 展 的 大 型 校园 网 的 设计 、 实 施 、 运 行 
和 维护 。 例 如 ,作为 学 校 汇聚 层 的 各 个 学 院 ,都 在 快速 发 展 ,每 年 不 断 有 重点 实验 室 TEW 
究 中 心 .人 研究 所 等 新 的 科研 平台 ,每 个 平台 下 面 又 有 多 个 人 研究 室 ,使 得 学 院 的 网 络 不 断 扩大 ， 
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网 络 层 数 变 多 ,恰好 可 以 采用 OSPF 的 区 域 来 规划 和 设计 这 些 新 增 网 络 。 目 前 , 绝 大 部 分 
校园 网 部 署 OSPF 协议 。 


7.1.2 OSPF 简介 


MÆ Internet 技术 的 飞速 发 展 ,OSPF 已 成 为 目前 Internet 广域网 和 Intranet 企业 网 
采用 最 多 .应 用 最 广 记 的 路 由 协议 之 一 。 因 为 RIP 路 由 协议 不 能 服务 于 大 型 网 络 , 所 以 ， 
国际 互联 网 工程 任务 组 (The Internet Engineering Task Force,IETF) 的 IGP( 内 部 网 关 协 
议 ) 工 作 组 特别 开发 出 一 种 链 路 状态 协议 一 一 OSPF, 它 是 一 种 基于 SPF 算法 的 路 由 
协议 。 

OSPF 在 一 个 日 治 系 统 内 进行 路 由 选择 和 数据 转发 , 米 用 OSPF 的 路 由 病 彼 此 交换 并 
保存 整个 网 络 的 链 路 信息 ,从 而 擎 握 全 网 的 拓扑 结构 ,每 个 方 点 能 够 独立 计算 路 由 。 

OSPF 协议 的 管理 距离 为 110, 它 基于 Dijkstra 算法 ,通过 收集 和 传递 链 路 状态 来 动态 
地 发 现 并 传播 路 由 ,并 使 用 “代价 ”(Cost) 作 为 路 由 度量 因素 , 链 路 高 宽 越 大 ,Cost 越 小 , 链 
路 越 优先 ; 当 链 路 状态 发 生变 化 时 触发 更 新 , 且 只 更 新 路 由 变化 部 分 ,具有 较 高 的 收敛 速 
HE. 此 外 ,OSPF 还 文 持 无 类 路 由 ,不 连续 子 网 `\VLSM, 文 持 手 工 汇总 、 等 价 负 载 均 衡 和 认 
证 ,适合 于 大 型 网 络 。 

OSPF 有 三 个 版 本 ,最初 的 规范 即 版 本 OSPFv1 体现 在 RFCII31 中 ; 随后 很 快 被 进行 
了 重大 改进 的 版 本 OSPFv2 替代 ,在 RFCI247 中 明确 指出 了 版 本 OSPFv2 对 于 稳定 性 和 功 
能 性 的 实质 性 改进 ,并 由 RFC2328 正式 定义 OSPFv2 ,主要 用 于 IPv4 网 络 ; 在 这 之 后 又 推 
出 了 针对 IPv6 的 版 本 OSPFv3, 由 RFC 5340 正式 定义 ,主要 用 于 IPv6 网 络 。 

与 EIGRP 协议 不 同 的 是 ,OSPF 协议 为 开放 式 协 议 , 具 有 开放 的 标准 ,被 各 种 网 络 开发 


7.1.3 术语 


OSPF 协议 相对 RIP 和 EIGRP 而 言 是 一 个 内 容 非常 丰 定 且 复 淋 的 协议 ,包含 许多 的 概 
念 和 术语 ,下面 进 行 简 要 介绍 。 

(OD 链 路 (link)。 指 一 个 网 络 或 一 个 被 指定 给 有 茶 一 网 络 的 路 由 融 接 口 24 — A PE FH ni fe 
口 被 添加 进 OSPF 协议 进程 时 ,该 接口 就 被 认为 是 一 个 OSPF 链 路 。 

(2) 链 路 状态 (link state) 。 用 来 描述 路 由 融 接 口 及 其 与 邻居 路 由 大 的 关系 。 所 有 链 路 
状态 信息 构成 链 路 状态 数据 库 CSLDB) 。 

(3) 链 路 状态 通告 (LSA)。 用 于 交换 路 由 需 之 间 的 链 路 状态 信息 ,OSPF Pt Has H5 
建立 了 邻接 关系 的 路 由 天 交换 LSA 数据 包 。 

(4) 链 路 状态 数据 库 (Link State Database,LSDB) 。 代 表 网 络 拓扑 结构 ,其 中 包含 了 了 网 
络 中 所 有 路 由 器 的 链 路 状态 信息 ,一 个 区 域内 的 所 有 路 由 器 有 着 相同 的 LSDB。 

(5) 邻居 (Neighbor) 。 连 接 在 同一 个 网 络 的 路 由 器 之 则 构成 邻居 ,与 RIP 和 EIGRP Hh 
议 不 同 , 仅 有 邻居 关系 的 OSPF 路 由 器 之 间 是 不 能 传递 路 由 信息 的 ,必须 建立 邻接 关系 。 

(6) 邻接 (Adjacent)。 从 邻居 关系 中 选 出 的 为 了 能 人 够 交换 路 由 信息 而 形成 的 一 种 关 
系 ,OSPF 协议 只 与 建立 了 邻接 关系 的 路 由 需 直 接 共 享 路 由 信息 ,而 邻接 关系 的 建立 取决 于 
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网 络 类 型 和 路 由 融 的 配置 。 

(7) EA ár IDCRID)。 用 来 唯一 标识 路 由 硕 ,类似 路 由 融 的 身份 证 ,有 米 用 IP 地 址 的 形 

(8) 指定 路 由 器 (DR)。 在 同一 个 广播 式 多 路 访问 网 络 ( 如 以 太 网 ) 中 ,具有 最 高 优先 级 
的 路 由 儿 、 能 够 代表 网 络 内 所 有 路 由 强 的 这 台中 由 冀 补 选举 为 DR( 类 似 一 个 班级 的 班长 ， 
无 线 传 感 关 网 络 的 复 头 节点 等 ) , 当 在 相同 优先 级 路 由 需 中 选择 DR 时 ,路 由 器 ID 最 高 的 被 
选举 为 DR ,负责 收集 和 组 播 路 由 选择 信息 ,从 而 使 得 建立 的 邻接 关系 的 数量 达到 最 小 化 。 

(9) 备用 指定 路 由 器 CBDR)。 在 广播 式 多 路 访问 网 络 中 ,随时 准备 接替 DR 的 路 由 器 
( 副 班 长 ) ,备用 指定 路 由 带 从 邻接 路 由 右上 接受 所 有 的 路 由 更 新 ,但 是 不 同 于 DR, BDR 不 
组 播 LSA 更 新 。 

(10) 目 治 系统 (Autonomous System,AS)。 采 用 同一 种 路 由 协议 交 换 路 由 信息 的 路 
由 天 及 其 网 络 构 成 一 个 目 治 系统 。 即 齐 循 共同 的 路 由 案 略 统一 管理 下 的 网 络 群 。 域 
domian 类 似 AS, 其 下 可 分 多 个 area, 

(11) OSPF 区 域 (area)。 有 相同 区 域 ID 的 一 组 路 由 兹 接口 的 集合 ,一 台 路 由 胡可 以 是 
多 个 区 域 的 成 员 , 所 以 区 域 ID 是 被 指定 给 路 由 硕 上 的 接口 ,在 同一 个 区 域内 的 路 由 天 有 相 
同 的 拓扑 数据 库 。 

(12) Hello 包 。 用 于 动态 地 发 现 邻 居 , 并 维护 邻居 关系 。Hello 数据 包 和 链 路 状态 通 
告 (LSA) 数 据 包 共同 用 于 建立 和 维护 拓扑 数据 库 ,Hello 包 使 用 组 播 地 址 224. 0. 0. 5。 

(13) 路 由 表 (routing table) 。 又 称 转 发 数据 库 (forwarding database), 4f f Ef IH $8 X] 
日 己 的 拓扑 结构 数据 库 运 行 SPF 算法 得 出 的 路 由 条 目 , 每 台 路 由 希 的 路 由 表 是 不 同 的 。 

(14) 邻 届 关系 数据 库 。 管 理 关 于 邻居 路 由 希 相 关 信 息 的 列表 ,内 容 包括 路 由 天 ID 和 
状态 等 信息 。 

(15) 拓扑 数据 库 。 实 际 上 是 与 路 由 表 有 关联 的 网 络 的 总 图 , 包 合 一 个 区 域内 的 所 有 链 
路 状态 通告 (LSA) 数 据 包 的 信息 ,因为 同一 区 域内 的 路 由 器 共享 相同 的 信息 ,所 以 它们 具有 
相同 的 拓扑 数据 库 。 

(16) 开销 (cost)。 用 来 描述 从 接口 发 送 数据 包 所 和 再 要 化 如 的 代价 。 市 多 越 大 ,开销 越 
小 ,开销 的 计算 公式 为 10 /带宽 (b/s) 。 带 宽 是 接口 下 使 用 bandwidth 命令 设置 的 值 ,默认 
情况 下 ,带宽 为 100M, 则 开销 为 1 。 


7.2 OSPF 协议 工作 原理 


首先 介绍 OSPF 协议 的 主要 特征 、 数 据 包 类 型 \ 网 络 类 型 ,然后 介绍 OSPF 路 由 协议 工作 
原理 ,接着 介绍 命令 语法 \ 链 路 认证 、 路 由 汇总 ,优先 级 等 ,最 后 介绍 不 同 区 域 的 路 由 学 习 方 法 。 


7.2.1 OSPF 的 特征 


OSPF 协议 具有 许多 优秀 的 特征 ,总 结 如 下 : 
(1) 开放 标准 式 协议 ,支持 各 种 不 同 的 网 络 开发 商 和 设备 提供 商 ,能 够 适应 大 规模 的 
网 络 。 
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(2) 采用 Dijkstra 算法 寻找 最 短路 径 树 型 路 由 结构 ,构建 逻辑 无 环 路 由 ,收敛 速度 快 。 

(3) 无 类 路 由 协议 ,完全 文 持 不 连续 子 网 `VLSM 和 CIDR, 

(4) 文 持 多 条 路 径 的 等 价 负 载 均 衡 ,最 多 文 持 6 条 链 路 。 

(5) OSPF 协议 的 管理 距离 为 110, 其 可 徘 性 要 优 于 RIP 协议 。 

(60 六 持 链 路 认证 ,主要 为 简单 口令 认证 和 MD5 认证 。 

(7) 使 用 组 播 地 址 发 送 协议 数据 包 , 只 有 链 路 状态 发 生变 化 时 才 更 新 ,最 小 化 路 由 选择 
的 更 新 流量 ,减少 了 非 OSPF 路 由 器 的 负载 。 

(8) 使 用 路 由 标签 来 表示 来 自 外 部 区 域 的 路 由 。 

(9) 采用 开销 (cost=10 "BW) 作 为 度量 标准 ,拥有 无 限制 的 跳 计 数 ,适合 超大 规模 
网 络 。 

(10) OSPF 协议 支持 多 种 网 络 类 型 ,包括 点 到 点 网 络 , 广 播 式 以 太 网 络 、 非 广播 多 路 访 
问 网 络 、 点 到 多 点 网 络 等 。 

(11) OSPF fH s d Ze Ph K . 52485 PIPER HL s A F E H ie s DE 39 371 A Pit HH ns HI 
AS 边界 路 由 冀 等 。 

(12) 在 AS 内 部 使 用 区 域 , 支 持 路 由 分 级 管理 ,区 域 划 分 ,构成 结构 化 层次 网 络 ,能 够 
减 小 单 台 路 由 器 的 CPU 负载 ,具有 良好 的 扩展 性 。 


7.2.2 OSPF 数据 包 类 型 


OSPF 定义 了 以 下 5 种 协议 数据 包 类 型 。 

1) Hello 包 

Hello & f] OSPF 包 类 型 为 1, 这 些 包 周 期 性 从 各 个 接口 (包括 虚 链 路 ) 发 出 ,用 来 创建 
和 维护 邻居 关系 。 为 外 ,在 文 持 组 播 或 广播 的 物理 网 络 上 ,Hello £219 H12H 58 3t fi OE 7$ 7g 
224.0.0.5) 发 送 。Hello £183 A x& [H] Ba Hf |R] FH. Hello interval 指定 (通常 为 10s), 假 如 在 间 
隅 达到 Router dead interval 所 规定 的 时 长 (通常 为 40s) 仍 未 收 到 一 个 已 创建 连接 的 路 由 器 
的 Hello 包 ,路 由 问 将 会 终止 这 一 连接 ,将 对 方 的 状态 标记 为 Down, HAB Pit H 38 7 35 HJ 
Hello 包 的 间隔 时 间 、Area ID、 认 证 类 型 和 密码 必须 一 致 才能 建立 邻接 关系 。 

2) 链 路 状态 数据 库 摘 述 包 (Database Description, DBD) 

DBD 包 的 OSPF 类 型 为 2, 当 邻接 关系 初始 化 后 , 便 开 始 交 换 该 数据 包 , 以 便 描 述 链 路 
状态 数据 库 的 摘要 信息 (只 包含 LSA 的 头 部 信息 ) 。DBD 包含 内 容 为 空 的 DBD 包 和 包含 
LSA mE H DBD eife 

人 台 路 由 豆 互 相 收 到 Hello 包 之 后 ,将 会 开始 互相 发 送 空 DBD 包 , 空 DBD 包 被 用 来 
Weir. 的 确定 ,通常 以 RID 较 大 的 为 Master。 当 主 从 关系 确立 之 后 ,从 路 由 需 将 会 
使 用 主 路 由 器 的 序号 (DBD sequence number) 回 其 发 送 第 一 个 包含 LSA 头 部 信息 的 DBD 
包 ; 主 路 由 器 将 会 在 收 到 从 路 由 器 的 DBD 包 之 后 发 送 自己 的 序号 加 1 的 DBD 包 , 作 为 对 
于 从 路 由 问 的 确认 包 , 从 而 使 得 主 从 路 由 兹 同步 。 

3) 链 路 状态 请 求 包 (Link State Request. LSR) 

LSR 包 的 OSPF 类 型 为 3, 在 相互 交换 完 DBD 包 之 后 ,路 由 器 便 知 道 其 自身 链 路 状态 
数据 库 缺 少 哪 些 LSA, 以 及 哪些 LSA 是 过 期 的 ,这 时 就 可 以 发 送 LSR 包 来 请 求 对 方 发 送 缺 
少 的 LSA 和 最 新 的 LSA. 
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4) 链 路 状态 更 新 包 (Link State Update. LSU) 

LSU 包 的 OSPF 类 型 为 4, 该 包 用 于 将 多 个 LSA 广播 给 其 他 路 由 兹 ,也 用 于 对 接收 到 
的 LSR 进行 应 答 ; 当 网 络 变化 时 就 发 送 LSU 的 信息 进行 更 新 。 每 一 个 LSU 包 可 能 包含 
多 条 LSA 信息 ,这 里 的 LSA 信息 是 完整 的 ,而 不 像 DBD 包 只 包含 LSA 的 头 部 信息 。 

5) 链 路 状态 确认 包 (Link State Acknowledgement. LSAck) 

LSAck 包 的 OSPF 类 型 为 5, 路 由 瑚 采用 LSAck 包 对 收 到 的 LSA 进行 显 式 确认 。 


7.2.3 OSPF 网 络 类 型 


OSPF 定义 了 以 下 4 种 网 络 类 型 。 

D 点 到 点 网 络 (point-to-point) 

两 台 路 由 疮 直接 连接 组 成 的 网 络 拓扑 类 型 ,例如 EL1 .SONETI, 连 接 可 以 是 物理 的 ,也 可 
以 是 逻辑 的 ,一 对 OSPF 路 由 融 目 动 完成 邻 导 关系 的 发 现 , 形 成 完全 邻接 关系 (full 
adjacency) ,并 且 不 进行 DR 和 BDR 的 选举 ,OSPF 明 动 检测 这 种 接口 类 型 。 点 到 点 网 络 上 
H3 pit Hi as b HL ZH d Hb 224. 0. 0. 5 发 送 OSPF 协议 数据 包 。 


在 点 到 点 网 络 中 ,OSPF 路 由 器 之 间 的 Hello 数据 包 每 10s 发 送 一 次 ,邻居 的 死亡 间隔 
时 间 为 40s。 


2) 广播 型 多 路 访问 网 络 (Broadcast Multi-Access,BMA) 

BMA 人 允许 多 台 设 备 连 接 到 同一 个 网 络 , 例 如 以 太 网 、 令 牌 环 网 .FDDI 等 ,在 BMA 网 络 
上 的 OSPF 路 由 器 必须 选举 一 台 指 定 路 由 器 (DR) 和 一 台 备 份 指定 路 由 器 (BDR), 并 通过 
DR 或 BDR 将 数据 包 广 播 或 组 播 到 该 网 络 中 的 所 有 节点 。 在 该 类 型 网 络 中 ,通常 以 组 播 的 
方式 发 送 Hello. LSU 和 LSAck 数据 包 , 以 单 播 形式 发 送 DBD 和 LSR 数据 包 。 其 中 ,普通 
的 OSPF 设备 的 组 播 地 址 为 224. 0.0.5,DR/BDR 设备 的 组 播 地 址 为 224. 0.0.6. 

E BMA 网 络 中 ,OSPF 路 由 器 之 间 的 Hello 数据 包 每 10s 发 送 一 次 ,邻居 的 死亡 间隔 
时 间 为 40s。 

3) 非 广 播 型 多 路 访问 网 络 (Non-Broadcast Multi-Access, NBMA) 

NBMA 类 似 于 广播 型 多 路 访问 网 络 , 可 以 同时 连接 两 台 以 上 的 路 由 需 , 例 如 帧 中 继 、 
X. 25 和 异步 传输 模式 (ATM) 网 络 等 都 属于 NBMA ,但 是 不 具备 广播 能 力 , 在 NBMA 网 络 
上 ,需要 手工 指定 DR 和 BDR ,之 后 ,其 运行 模式 将 同 广播 网 络 一 样 ,并 且 所 有 的 OSPF 数 
据 包 都 是 以 单 播 形式 发 送 。 

在 NBMA 网 络 中 ,OSPF 路 由 器 之 间 的 Hello 数据 包 每 30s 发 送 一 次 ,邻居 的 死亡 间 
隅 时 间 为 120s。 

4) 点 到 多 点 网 络 (point-to-multipoint) 

侣 路 由 右上 的 单一 接口 与 多 人 台中 由 问 间 的 一 系列 连接 组 成 了 点 到 多 点 的 网 络 拓扑 结 
构 , 是 NBMA 网 络 的 一 个 特殊 设置 ,可 以 看 作 是 一 群 点 到 点 链 路 的 集合 ,因此 在 该 网 络 上 
不 必 选 举 DR 和 BDR。 点 到 多 点 网 络 上 OSPF 的 行为 和 点 到 点 网 络 OSPF 的 行为 一 样 ,也 
使 用 组 播 地 址 224. 0. 0. 5 发 送 OSPF 协议 数据 包 , 以 单 播 形式 发 送 其 他 协议 数据 包 。 

在 点 到 多 点 网 络 中 ,OSPF 路 由 器 之 间 的 Hello 数据 包 每 30s 发 送 一 次 ,邻居 的 死亡 间 
隅 时 间 为 120s。 
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7.2.4 OSPF 区 域 思想 


一 个 OSPF 网 络 ( 有 目 治 系统 ,AS) 可 以 被 分 割 成 多 个 区 域 (Area)。 区 域 能 够 对 网 络 中 的 
路 由 器 进行 逻辑 分 组 ,并 以 区 域 为 单位 问 网 络 的 其 余部 分 发 送 路 由 汇总 信息 。 区 域 编号 一 
般 采 用 十 进 制 数字 格式 ,如 骨干 区 域 用 Area 0 表示 ,其 他 区 域 可 以 用 Area 1、Area 2、Area 
3 表示 等 。 

OSPF 区 域 是 以 路 由 兹 接口 (Interface) 为 单位 来 划分 的 ,所 以 一 台 多 接口 路 由 疾 可 能 
属于 多 个 区 域 。 相 同 区 域内 的 所 有 路 由 费 都 维护 一 份 相 同 的 链 路 状态 数据 库 (LSDB)。 如 
果 一 台 踏 由 兹 属于 多 个 区 域 , 那 么 它 将 为 每 一 个 区 域 维护 一 份 独立 的 LSDB。 

将 一 个 网 络 划 分 为 多 个 OSPF 区 域 有 以 下 优点 : 

(OD 东 一 区 域内 的 路 由 颖 只 用 维护 该 区 域 的 LSDB, 而 不 用 维护 整个 OSPF 网 络 的 
LSDB, 

(2) 将 某 一 区 域 网 络 拓扑 结构 变化 的 影响 限制 在 该 区 域内 ,不 会 影响 到 整个 OSPF 网 
络 , 从 而 减 小 OSPF 计算 拓扑 .最短 路径 优 先 算法 、 最 短路 由 的 频率 。 

(3) 将 LSA 的 广播 限制 在 本 区 域内 ,从 而 降低 OSPF 协议 产生 的 各 类 数据 包 的 总 量 。 

(4) 划分 区 域 可 以 对 网 络 进行 层次 化 结构 设计 ,便于 网 络 的 扩展 。 

(5) 划分 区 域 有 利于 网 络 资源 的 合理 调配 ,骨干 区 域 可 以 部 署 性 能 较 好 的 设备 资源 , 边 
缘 区 域 可 以 部 署 性 能 较 差 的 设备 资源 。 

OSPF 网 络 可 以 只 有 一 个 区 域 , 则 这 个 区 域 必 须 是 骨干 区 域 Area 0。 同 时 ,也 可 以 有 多 
个 区 域 , 则 必须 包含 一 个 骨干 区 域 Area 0, 其 他 区 域 可 以 是 Area 1、Area 2、Area 10 SE. A 
接 或 间接 和 Area 0 相连 。 


7.2.5 OSPF 路 由 器 类 型 


因为 OSPF 将 一 个 网 络 或 AS 划分 为 多 个 区 域 ,所 以 在 OSPF 网 络 中 ,不 同 的 路 由 需 扮 
演 着 不 同 的 角色 ,除了 DR 和 BDR 之 外 ,还 有 以 下 几 种 类 型 ; 

CD DP PSP RES H z (Internal Router. IR)。 该 类 路 由 需 的 所 有 接口 都 属于 同一 
OSPF 区 域 。 

(2) 骨干 路 由 做 (Backbone Router,BR)。 该 类 路 由 前 至 少 有 一 个 接口 属于 骨干 区 荆 
Area 0 。 

(3) KEJ FEK H (Area Border Router. ABRO 。 该 类 路 由 央 同 时 属于 两 个 及 以 上 的 
OSPF 区 域 , 但 是 其 中 一 个 必须 是 骨干 区 域 (Area 00, ABR XE EHE YE ZEE TRAE EE IC 
域 ,并 为 每 一 个 与 之 相连 的 区 域 维护 一 份 LSDB。 因 此 ,ABR 需要 比 IR 具备 更 多 的 内 存 资 
源 和 更 高 性 能 的 处 理 颖 。 

(4) 自治 系统 边界 路 由 问 (AS Boundary Router,ASBR )。 该 类 路 由 需 主 要 用 于 与 其 他 
AS 交换 路 由 信息 。ASBR 用 来 把 从 其 他 路 由 协议 (如 BGP、EIGRP、 其 他 进程 号 的 OSPF 
等 ) 学 习 到 的 路 由 Po OSPF 进程 ,从 而 使 得 整个 OSPF 域内 的 路 由 
器 都 可 以 学 习 到 这 些 路 由 。 因 此 ,只 要 一 台 OSPF 路 由 器 引入 了 外 部 路 由 信息 , 它 就 是 
ASBR。 所 以 ,ASBR 除了 位 于 AS seti, 还 可 以 是 IR.BR 或 ABR。 

如 图 7-1 所 示 ,该 示意 图 有 三 个 区 域 ,其 中 Area 1、Area 2 的 区 域 边界 各 有 一 台 路 由 需 
B 和 EE 与 骨干 区 域 Area 0 相连 3X VI 6558 H1 38 B 和 下 均 为 ABR, 恰 巧 这 两 台中 由 器 BB 和 下 
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又 属于 Area 0, 所 以 同时 又 是 BR。Area 0、Area 1、Area 2 内 部 的 其 他 踏 由 闫 A、C、D、G 则 
均 为 IR。 路 由 器 下 属于 Area 2 的 边界 , 它 又 与 另外 一 个 路 由 协议 EIGRP 交换 路 由 信息 ， 
因此 路 由 大 下 为 ASBR。 男 外 需要 注意 的 是 ,OSPF 要 求 任 何其 他 区 域 都 必须 与 骨干 区 域 
Area 0 相连 ,或 者 通过 虚 链 路 与 Area 0 相连 。 


图 7-] OSPF 路 由 需 类 型 示意 图 


7.2.6 OSPF LSA 类 型 


OSPF 主要 的 LSA 类 型 有 如 下 几 种 。 

COD 第 1 类 :; MMH #r LSA(router LSA)。 它 摘 述 了 路 由 融 物 理 接口 所 连接 的 链 路 或 接 
口 ,指明 了 链 路 的 状态 .代价 等 。 每 个 OSPF 区 域内 的 路 由 器 均 会 产生 第 1 类 LSA, 它 让 路 
由 兹 彼此 认识 各 日 的 链 路 和 接口 等 ,该 类 型 的 LSA 只 在 产生 的 区 域内 广播 。 

(2) 第 2 类 : 网 络 LSA(network LSA)。 它 是 由 DR 始 发 的 ,类 型 2 的 LSA 只 在 一 个 
区 域 里 传播 ,不 会 穿越 ABR。 网 络 LSA 描述 了 组 成 transit network B3 Et XE HJ Pit HH $8 - 
transit network 直 连 至 少 要 两 台 OSPF PH $8 DR 负责 通告 类 型 2 的 LSA ,然后 在 transit 
network 的 一 个 area 里 进行 广播 ,类 型 2 的 LSA ID 是 DR 进行 通告 的 那个 接口 的 IP 
地 址 。 

(3) 第 3 类; 网 络 汇 总 LSA(network summary LSA). EEM ABR 发 出 的 , 它 将 某 个 
区 域 的 汇总 告知 其 他 区 域 ,也 就 是 通知 其 他 区 域 路 由 器 要 到 这 些 网 络 就 找 我 。 默 认 OSPF 
不 会 对 连续 子 网 进行 汇总 ,可 在 ABR 上 局 动手 动 汇总 ,类 型 3 的 LSA 可 以 在 整个 AS 内 进 
行 广播 。 

(4) 第 4 类 : ASBR 汇总 LSA(ASBR summary LSA) , 它 也 是 由 ABR 发 出 的 ,但 是 它 
却 是 告诉 其 他 区 域 路 由 器 到 某 个 非 OSPF AS 外 的 网 络 要 找 通告 里 告诉 的 那个 ASBR ,可 以 
理解 为 汇总 是 由 ASBR 产生 但 由 ABR 代为 通告 出 去 的 。 类 型 4 的 LSA 只 使 用 在 Area 里 
存在 ASBR 的 时 候 , 能 够 鉴别 ASBR 和 提供 到 达 ASBR 的 路 由 , 且 只 包含 了 ASBR 的 RID 
信息 。 类 型 4 的 LSA 可 以 在 整个 AS 内 进行 广播 。 

(5) $ 5 28. Hin RÉP WP LSACautonomous system external LSA), €E Æ M ASBR 
产生 的 ,用 来 通告 目 治 系统 外 部 的 路 由 , 它 在 整个 OSPF 目 治 系统 内 广播 ,所 以 网 络 管理 员 
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应 该 尽量 在 ASBR 上 进行 路 由 汇总 Csummary-address 外 部 汇总 网 络 号 汇总 手 码 ) 。 

(6) 5& 7 2$, NSSA 外 部 LSAC(NSSA external LSA)。NSSA 是 指 在 非 纯 末梢 区 域内 
(not-so-stubby area) 由 ASBR 发 出 的 通告 外 部 AS 的 LSA, 仅 仅 在 这 个 非 纯 末梢 区 域内 广 
播 ,不 能 在 整个 自治 系统 内 广播 。NSSA 网 络 中 的 ABR 会 将 这 个 第 7 类 LSA 转换 为 第 5 
类 LSA 告诉 骨干 区 域 。 


7.2.7 OSPF 工作 原理 


下 面 以 广播 型 多 路 访问 网 络 为 例 , 详 细 介 绍 OSPF 协议 的 工作 原理 ,主要 包含 路 由 发 
现 .路 由 选择 和 路 由 维护 。 

1. 路 由 发 现 

路 由 发 现 主 要 包括 发 现 路 由 器 ,必要 的 DR/BDR 选举 和 建立 邻接 关系 。 从 OSPF 协议 
初始 化 开始 ,需要 经 历 如 下 四 个 阶段 七 个 状态 才能 建立 完全 邻接 关系 ,如 图 7-2 所 示 , 只 有 
建立 邻接 关系 的 两 台 路 由 器 之 间 才 能 交换 OSPF 路 由 信息 。 


Egg 一 r 


= 7 10.136.10.1/24 10.136.10.2/24 


fa0/0 fa0/1 


© Down | 


— 
ello 


EE M 


路 由 器 B 的 邻居 表 
10.136.10.1 fa0/l 


oOo o 
单 播 给 A ”我 的 RID 是 10.136.10.2， 我 看 到 10.136.10.1 Hello 
路 由 器 A 的 邻居 表 
10.136.10.2 fa0/0 | Two-Way - 
NN 
我 要 发 起 信息 交换 ， 我 的 RID 是 10.136.10.1 
No. 我 要 发 起 信息 交换 ， 因 为 我 的 RID 更 大 


这 是 我 的 LSDB 汇 总 信息 


| l 和 站 i 
DBD 这 是 我 的 LSDB 汇 总 信息 


| Js T EJ 
LSAck a .. Wi. B o — — — 1| 


这 里 有 到 达 10.136.15.0/24 的 路 由 
— . is 
谢谢 你 的 LSU 信 息 


7-2 邻居 发 现 阶段 
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1) 邻居 发 现 阶段 

如 图 7-2 Brzm EA Ae A 新 加 入 OSPF 网 络 , 开 始 的 状态 为 Down 状态 ,没有 发 送 或 接 
收 任何 OSPF 数据 包 。 

MHIL SR A 的 fa0/0 接口 局 动 OSPF 协议 以 后 ,通过 组 播 地 址 224. 0.0.5 回 其 所 在 网 
络 的 所 有 直 连 OSPF 设备 发 送 Hello 数据 包 。 此 时 路 由 器 A 尚未 与 其 他 路 由 器 建立 邻居 
关系 ,所 以 Hello EFRR f Hom RID X 10. 136. 10. 1. 

路 由 带 也 接收 到 来 月 A 的 Hello 包 以 后 ,将 接收 到 Hello 包 的 接口 fa0/1 转换 为 Init 
状态 ,同时 从 Hello 包 中 获取 A 的 RID 10.136. 10. 1 并 添加 到 邻居 表 中 。 同 时 ,检查 Hello 
包 的 一 些 字段 CRID ERES., 区域 ID 是否 相同 、Hello 间 阳 和 失效 时 间 是 否 一 致 等 )。 接 
A HAr B 在 Dead interval 超时 之 前 以 单 播 的 方式 回路 由 帮 AES BUR Hu RID 10. 
136. 10.2 和 A BJ RID HJ Hello £2, 

PH SR A 接收 到 来 自 BB Hello 包 后 发 现 ,该 数据 包 里 有 自己 的 RID, 则 将 接收 到 来 
日 BB 的 Hello MAJHA fa0/0 转换 为 Two-Way 状态 ,同时 从 报 文 中 获取 路 由 带 B 的 RID 
10. 136. 10. 2 并 添加 到 邻居 表 中 ,随后 A 在 Dead interval 超时 之 前 以 组 播 的 方式 向 其 所 有 
H OSPF 设备 发 送 封装 有 自己 RID 和 路 由 器 B 的 RID 的 Hello 包 ， 

PEE SR B 上 表 次 收 到 来 日 A 的 Hello 包 时 ,发 现 该 数据 包 里 有 日 己 的 RID, 将 接收 到 来 
H A 的 Hello 包 的 接口 fa0/1 转换 为 Two-Way 状态 。 通 过 上 述 两 次 握手 ,路 由 闫 A 和 B 
建立 双向 邻居 关系 。 

2) 主 从 关系 确认 阶段 

在 路 由 器 A A B 建立 双 问 邻居 关系 后 , 即 可 通过 Hello 包 选 举 DR 和 BDR. DR 和 
BDR 是 在 同一 个 网 络 中 的 路 由 条 间 ,通过 优先 级 和 RID 选举 ,Hello 包 中 的 Priority 字段 的 
值 大 于 0 的 路 由 器 才 具 备 被 选举 的 资格 。 在 与 多 个 邻居 之 间 都 建立 双 加 邻居 关系 后 ,本 地 
路 巾 带 检测 每 个 邻居 路 由 融 发 来 的 Hello 包 中 的 优先 级 .DR、BDR 字段 ; 此 时 ,所 有 路 由 硕 
都 默认 自己 是 DR 与 BDR。 在 DR 和 BDR 字段 中 ,优先 级 最 高 的 路 由 大 被 选 为 DR、 如果 优 
和 完 级 一 样 , 则 拥有 最 高 RID 的 路 由 带 被 选 为 DR。 在 图 7-2 rh. DI y Fit tH $8 D 的 RID 更 大 ， 
所 以 BB 是 DR., Hir A 是 BDR, 

选举 完 之 后 进入 Exstart Ha 2D AR» Fit HH 28 A M B a ib DBD 包 交 互 确认 双方 的 
主 / 从 关系 ,确定 用 于 交换 LSDB zb fn B99]15 Fr I . VL DR ERI BI n f 21 EJ Tbe: c A91 H3 f 
路 状态 信息 。 主 从 关系 通过 RID 决定 ,RID 较 高 的 一 方 为 主 设备 。 图 7-2 中 ,路 由 器 B 是 
DR, X EMH f, A 是 BDR, X AMER H HF o 

3) 数据 库 同 步 阶段 

主 从 关系 确认 后 , 主 路 由 器 B 确定 初始 序列 号 ,使 用 DBD 包 通 过 fa0/1 接口 发 送 它 的 
LSDB 1L 5 fri B 25 M rit H Ar A, 并 将 fa0/1 转换 为 Exchange 状态 ; M EAH ar A 通过 接口 
fa0/0 Mr 8l Erh 88 B 的 DBD 包 并 确认 序列 号 ,将 接口 fa0/0 转换 为 Exchange 状态 ; 并 问 
B 发 送 它 的 LSDB 汇总 信息 ,B 收 到 后 相互 发 送 LSAck 的 确认 包 ，。 

Eh Ar B AGE HI SR A 发 送 带 有 LSA 头 部 信息 的 数据 包 , 对 A 进行 数据 更 新 , 当 B 
H A 发 完 最 后 一 个 数据 包 时 ,将 fa0/1 接口 转换 为 Loading 状态 ,同样 ,A 接收 完了 发 来 的 
最 后 一 个 包 时 ,也 将 fa070 转换 为 Loading 状态 。 

随后 PH S8 A 将 从 B 得 来 的 数据 包 信 息 与 目 呈 的 LSDB HETAT H Wh REM HAHA 
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LSDB 中 没有 某 些 网 络 信息 ,或 者 其 内 容 已 经 过 时 了 。 如 7-2 中 ,A 发 现 自己 缺少 到 目标 网 
络 10. 136. 15.0/24 的 路 由 ,此 时 A 会 向 B 发 出 LSR 请 求 更 新 ; B 收 到 A 发 来 的 LSR 以 
后 ,会 发 送 LSU 数据 包 给 A. hA A 接收 到 B 发 来 的 LSU 数据 包 后 会 回 以 LSAck 数 
据 包 进行 确认 ,完成 数据 库 同 步 。 注 意 , 主 从 角色 并 不 是 固定 不 变 的 ,因为 路 由 器 A 和 B 可 
能 都 拥有 对 方 所 没有 的 LSA( 或 者 某 一 方 的 信息 已 过 时 ), 所 以 双方 都 可 以 回 对 方 发 送 LSR 
报 文 请 求 更 新 ; MAA A 的 优先 级 修改 ,重启 路 由 进程 后 ,可 能 变 成 新 的 DR, 主 从 关系 
均 可 以 改变 。 

4) 完全 邻接 阶段 

APR HIS A 和 B 的 LSDB 同步 完成 后 ,双方 的 fa0/0 和 fa0/1 接口 转换 为 Full 状态 ,此 
HEFER AE A 和 B 建立 完全 邻接 关系 。 注 意 ; 邻接 路 由 需 相 互 拥 有 上 自己 独立 的 .完整 的 链 路 
状态 数据 库 LSDB。 


2. 路 由 选择 


当 一 台 路 申 咒 拥有 完整 独立 的 LSDB 后 ,OSPF 路 由 器 依据 LSDB 的 内 容 , 独 立 运行 
SPF 算法 计算 出 到 每 一 个 目标 网 络 的 最 优 路 径 ,并 将 这 条 路 径 添 加 到 路 由 表 中 。 

OSPF 利用 开销 cost 计算 到 目标 网 络 的 路 径 代 价 ,cost 最 小 的 即 为 最 优 路 由 , 锌 与 人 路 
由 表 。 


3. 路 由 维护 


当 链 路 状态 发 生变 化 时 ,OSPF Pf HL ai BE PIER zs UE LSU 使 用 组 播 地 址 224. 0. 0.6 
通告 网 络 上 的 DR iH SR. 

DR 确认 收 到 这 个 LSU 后 ,采用 组 播 地 址 224. 0. 0. 5 通告 给 网 络 上 的 其 他 路 由 器 ,其 
他 路 由 器 收 到 DR 的 LSU 之 后 发 送 各 自 的 LSAck 包 给 DR, 

如 果 路 由 器 还 连接 其 他 路 由 器 , 则 它 将 这 个 LSU 组 播 给 网 络 中 的 其 他 路 由 器 ,或 者 点 
对 点 网 络 的 邻接 路 由 冀 。 

当 一 个 路 由 兹 收 到 变化 了 的 LSU, 路 由 带 更 新 它 的 链 路 状态 数据 库 / 拓 扑 数 据 库 , 并 运 
ÍT SPF 算法 重新 计算 路 径 ,产生 一 个 新 的 路 由 表 ,SPEF 经 过 一 个 较 短 时 间 完 成 新 路 由 表 的 
计算 。 


7.2.8 OSPF 命令 语法 
在 OSPF 路 由 进程 中 配置 路 由 协议 ,命令 语法 如 下 : 


Router(config) # router ospf [process id] 


Router(config- router) # network [ip address] [inverse-mask] area [area id] 


(1) process id; OSPF 的 进程 ID ,范围 为 1—65 535, 4e iA M S8 LE HJ ERE ID 可 以 相 
[5] ,也 可 以 不 同 ,进程 ID 只 具有 本 地 意义 , 它 是 为 了 让 OSPF REE M HI 28 E35 1T. 

(2) network address: 宣告 运行 OSPF 协议 的 网 络 的 网 络 地 址 ,一般 都 为 直 连 接口 的 
网 络 地 址 。 
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(3) inverse-mask: 38 FIC AE OT) HEW. 
(4) area id; 限定 运行 OSPF BM BS BE HI ET TER DX E, . yo 8] 2g 0—4 294 967 295, 
7.2.9 OSPF 认证 方法 


OSPF 协议 定义 3 种 认证 类 型 : 0 表示 不 认证 ,是 默认 的 类 型 ; 1 表示 采用 明文 认证 ; 2 
表示 采用 MD5 认证 。 
OSPF 认证 的 配置 方法 如 下 : 


Router(config) # int s0/0 // 进 人 接口 
Router(config-if) # ip ospf authentication null // 定 义 不 认 证 (默认 不 认证 ) 
Router(config-if) # ip ospf authentication // 明 文 认证 
Router(config-if) # ip ospf authentication-key password // 不 需要 携带 key id 


Router(config-if) # ip ospf authentication message- digest / / MD5 认证 

Router(config-if) # ip ospf message-digest-key number md5 password 

// 密 文 认证 要 携 市 key id 并 且 两 边 key id 必须 一 致 

// 注 意 : 认 证 方式 和 两 边 的 密码 必须 一 致 ,否则 两 台 路 由 器 的 邻居 关系 无 法 建立 。 命 令 debug ip 
ospf obj 显示 与 OSPF 邻接 相关 的 事件 ,对 于 排除 号 份 验证 故障 有 帮助 。 


7.2.10 OSPF RID 汇总 、 优先 级 
1. RID 的 作用 及 配置 方法 


路 由 器 ID(Router ID,RID) 本 质 是 一 个 32 位 长 的 二 进 制 数 ,OSPF 协议 下 ,RID 用 来 
唯一 标识 自治 系统 (AS) 内 的 路 由 器 (RFC 2328)。 默 认 情 况 下 ,如 果 设 置 了 环 回 接口 , 则 
选择 这 个 环 回 地 址 作为 RID。 如 果 设 置 了 多 个 环 回 接口 , 则 选择 环 回 接口 IP 地 址 最 大 的 
作为 ID。 例如 ,同时 设置 了 两 个 环 回 接口 ,IP 地 址 为 192. 168.10.1 和 192.168.15.1, 则 
会 把 IP 地 址 较 大 的 192. 168. 15. 1 作为 RID。 如 果 没 有 设置 环 回 接口 ,只 有 活动 接 
口 . 则 选择 活动 接口 中 P 地 址 最 大 的 作为 RID。 有 时 需要 人 为 指定 路 由 器 的 RID, 方 
法 如 下 : 

Router(config) # router ospf [process id] 


Router(config-router) # router- id A. B. C. D 


2. OSPF 路 由 汇总 

汇总 是 将 子 网 化 后 明细 的 网 段 合 并 成 大 的 网 络 , 以 减少 路 由 器 条 目的 大 小 ,降低 资源 的 
消耗 。 子 网 化 明细 网 段 的 变化 ,不 会 影响 到 路 由 汇总 的 信息 。OSPF 只 能 在 不 同 区 域 之 间 
进行 汇总 ,并 且 没 有 目 动 汇总 。 手 动 汇总 配置 方法 如 下 : 


Router(config) # router ospf 100 
Router(config-router) 4 area 0 range { 汇 总 ip 5#} /7 于 动 汇总 
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3. OSPF 端口 优先 级 


更 改 端口 优先 级 ,便于 OSPF 对 于 BR/BDR 的 选举 , 若 优 先 级 为 255, 则 该 路 由 器 永远 
为 DR, 若 优 先 级 为 0, 则 不 参与 选举 。 
更 改 接 口 优先 级 的 配置 如 下 : 


Router(config) # interface Serial0/2/1 
Router(config- if) X ip ospf priority xx( 越 大 越 优 先 ) 


7.2.11 解决 不 同 区 域 学 习 路 由 问题 


在 OSPF 中 ,Area 0 是 骨干 区 域 ,所 有 其 他 区 域 必 须 和 Area 0 直 连 ,才能 相互 学 习 到 路 
由 条 目 。 如 果 存 在 不 同 区 域 之 间 相 连 , 没 有 连接 Area 0 怎么 办 ? 以 下 介绍 两 种 OSPF % H 
的 解决 不 连续 区 域 的 方法 。 


1. 虚 链 路 


虚 链 路 是 指 在 两 台 路 由 占 中 间 打 上 一 个 隧道 ,这 个 隧道 默认 是 被 定义 成 Area 0 的 ,所 
以 在 骨干 区 域 和 其 他 区 域 之 间 局 用 虚 链 路 ,这样 其 他 区 域 的 路 由 需 通 过 虚 链 路 ,就 相当 于 连 
接 Area0 了 ,从 而 可 以 进行 路 由 条 目的 学 习 了 。 

虚 链 路 的 配置 方法 如 下 : 


R2(config-router) # area 2 virtual-link 3.3.3.3 
其 中 area 2 是 你 想 要 穿越 的 那个 非 0 区 域 
virture-link 代表 启用 虚 链 路 , 需 两 端 同 时 启用 
//3.3.3.3 代表 对 方 路 由 颖 的 RID 

// 虚 链 路 区 域 默 认为 area 0 

查看 邻居 表 : sh ip ospf nei 

查看 debug 信息 : debug ip os adj/events/packet... 


在 对 方 RID 后 面 可 添加 MD5 的 认证 ,配置 相应 的 密码 。 

2. Tunnel 隧道 技术 

因为 OSPF 运用 环境 广 , 有 时 因为 特殊 区 域 的 问题 ,无 法 使 用 虚 链 路 ,而 这 时 就 要 用 到 
一 种 更 加 稳定 的 技术 , 即 tunnel 隧道 技术 。 

隧道 技术 在 应 用 上 ,不 会 受到 限制 , 它 是 一 个 实际 存在 的 接口 ,并 且 有 相应 IP 地 址 的 虚 


拟 链 路 ,可 以 通过 将 障 道 的 接口 ,加 入 相应 的 OSPF 区 域 , 来 解决 不 连续 的 区 域 问题 。 
Tunnel 配置 方法 如 下 : 


RA(config) # int tunnel 1 // 启 用 隧道 接口 

RA(config-if) # ip add 192.168.46.4 255.255.255.0 // 为 隧道 配置 接口 地 址 

R4(config-if) # ip ospf 110 area 0 / / TE Bx 38 "HJ FH ospf, 旦 区 域 为 骨干 区 域 
R4(config-if) # tunnel source 192.168.34.4 / / 48 xE BA 38 E] UR , OB A ARR H Ae 0) ELE Be O 


RA(config-if) # tunnel destination 192.168.26.6 
// 指 定 隧道 的 目的 端 ,为 建立 隧道 对 端的 直 连 接口 
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R6(config)# int tunnel 1 

R6(config- if) # ip address 192.168.46.6 255.255.255.0 
Re(config-if) # ip ospf 110 area 0 

R6(config- if) # tunnel source 192.168.26.6 
R6(config- if) # tunnel destination 192.168.34.4 


7.3 点 对 点 型 网 络 配置 单 区 域 OSPF 实例 


7.3.1 实验 拓扑 
图 7-3 中 由 三 台 路 由 器 R1、R2 和 R3 通过 串口 线 进 行 连接 ,并 各 自 设置 环 回 接口 。 


1.1.1.1/24 2.2.2.2/24 3.3.3.3/24 
Loopback0 ( LoopbackO | Loopback0 
EED 172.16.12.024 — m 1721623004 “mg 一 
192.168.1.1/24 CD | - —— ] 二 = 


Loopbackl | RI 


10.1.1.1/24 | 


192.168.2.1/24 Loopback! 


Loopback2 
图 7-3 op A 08 p] 28 RK OSPF 拓扑 图 


7.8.2 实验 内 容 


CD 对 各 路 由 冀 进 行 基础 配置 并 改名 , 接 者 配置 各 个 接口 的 IP 地 址 与 状态 。 配 置 完 成 
后 ,可 以 用 cdp 协议 确认 是 否 按 照 拓 扑 正 确 连 接 。 然 后 ,可 以 用 show ip interface brief 查看 
各 接口 IP 地 址 与 状态 。 

(2) 在 三 人 台 路 由 和 冀 上 配置 OSPF 协议 。 


7.3.3 实验 配置 
1. 对 各 路 由 器 进行 基础 配置 


路 由 天 的 基本 配置 在 4.5.5 节 有 介绍 ,这 里 不 再 重复 。 其 中 ,路 由 硕 的 环 回 接口 
(Loopback) H HO ,不 震 要 no shutdown。 以 路 由 需 有 1 为 例 , 配 置 如 下 SA EE EH SS T 
作 类 似 。 


Ri(config) # int lo 0 

Rl(config- if) # ip add 1.1.1.1 255.255.255.0 
Rl(config- if): int lo 1 

Rl(config-if) # ip add 192.168.1.1 255.255.255.0 
Rl(config- if) # int lo 2 

Rl(config- if) # ip add 192.168.2.1 255.255. 255.0 
Ril(config-if)1texit 

Rl(config) # int fa 0/0 
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Rl(config-if) # ip add 172.16.12.1 255.255.255.0 
Ri(config- if) # no shut 
Rl(config-if) # exit 


2. CZARA RLA OSPF 


这 里 约定 三 台 路 由 项 上 OSPF 进程 号 均 为 1.3x E i H, BER Er H SS ER] ETE y p 
HARHA., A EHA AECA OSPF 进程 号 可 以 不 相同 。 此 处 约定 区 域 号 为 0, 如 果 只 有 
一 个 区 域 . TE 6. FB] VJ FE X d «E. DX da 35] n] . 4H A ARE zm DX dX. area 0 (或 area 0. 0. 0.0) 是 
必须 存在 的 。 区 域 号 码 为 0 时 是 骨干 区 域 (backbone) ,其 他 区 域 交 换 路 由 信息 时 都 将 经 过 
骨干 区 域 。 

在 R1 路 由 需 上 ,将 目 己 直 连 路 由 宣告 进 OSPF 路 由 协议 。 


Rl(config) # router ospf 1 

Rl(config-router) # network 1.1.1.1 0.0.0.255 area 0 
Rl(config-router) 4 network 192.168.1.0 0.0.0.255 area 0 
Rl(config-router) # network 192.168.2.0 0.0.0.255 area 0 
Rl(config-router) # network 172.16.12.0 0.0.0.255 area 0 
Rl(config-router) it end 


其 中 ,有 两 行 可 以 合并 成 一 行 , 原 有 的 两 行 如 下 : 


Rl(config-router) # network 192.168.1.0 0.0.0.255 area 0 
Rl(config-router) # network 192.168.2.0 0.0.0.255 area 0 


可 以 改写 为 下 面 这 行 ,将 网 络 改 为 192. 168. 0.0, 且 将 通配符 掩 码 改 为 0.0. 255. 255, 


Rl(config-router) # network 192.168.0.0 0.0.255.255 area 0 


在 R2 路 由 天 上 ,将 目 己 直 连 路 由 宣告 进 OSPF 路 由 协议 。 


R2(config) # router ospf 1 

R2(config-router)itnet 2.2.2.0 0.0.0.255 area 0 
R2(config-router)itnet 172.16.12.0 0.0.0.255 area 0 
R2(config-router)itnet 172.16.23.0 0.0.0. 255 area 0 
R2(config-router) # end 


在 R3 Pise E ,将 目 己 和 直 连 路 由 宣告 进 OSPF 路 由 协议 。 


R3(config) # router ospf 1 

R3(config-router) # net 3.3.3.0 0.0.0. 255 area 0 
R3(config-router)itnet 10.1.1.0 0.0.0.255 area 0 
R3(config-router)itnet 172.16.23.0 0.0.0.255 area 0 
R3(config-router) # end 


配置 完成 后 ,分 别 在 三 人 台 路 由 化 上 和 碍 看 路 由 表 。 


第 / 草 ”开放 式 最 短路 径 优 先 协 议 及 配置 方法 


R1 # show ip route 


… (省略 部 分 内 容 ) 


e 0 OQ 


1.0.0.0/24 is subnetted, 1 subnets 

1.1.1.0 is directly connected, Loopback0 
2.0.0.0/32 is subnetted, 1 subnets 

2.2.2.2 [110/65] via 172.16.12.2, 00:20:01, Serial0/2/1 
3.0.0.0/32 is subnetted, 1 subnets 

3.3.3.3 [110/129] via 172.16.12.2, 00:03:29, Serial0/2/1l 


10.0.0.0/32 is subnetted, 1 subnets 

10.1.1.1 [110/129] via 172.16.12.2, 00:01:01, Serial0/2/1l 
172.16.0.0/24 is subnetted, 2 subnets 

172.16.12.0 is directly connected, Serial0/2/1 

172.16.23.0 [110/128] via 172.16. 12.2, 00:04:20, Serial0/2/1 


192.168.1.0/24 is directly connected, Loopbackl 
192.168.2.0/24 is directly connected, Loopback2 


或 只 查看 OSPF 相关 的 条 目 ， 


R1 # show ip route ospf 


0 


2.0.0.0/32 is subnetted, 1 subnets 

2.2.2.2 [110/65] via 172.16.12.2, 00:21:41, Serial0/2/1 
3.0.0.0/32 is subnetted, 1 subnets 

3.3.3.3 [110/129] via 172.16.12.2, 00:05:10, Serial0/2/1 
10.0.0. 0/32 is subnetted, 1 subnets 

10.1.1.1 [110/129] via 172. 16.12. 2, 00:02:41, Serial0/2/1 
172.16.0.0/24 is subnetted, 2 subnets 

1972.15.23 0 [110/128] via 172. 16:12. 2. 00:06:00, Serial0/2/1 


在 R2 上 查看 OSPF 相关 条 目 ， 


R2 € sh ip route ospf 


1.0.0.0/32 is subnetted, 1 subnets 

1.1.1.1 [110/65] via 172. 16.12. 1, 00:23:02, Serial0/2/1 
3.0.0.0/32 is subnetted, 1 subnets 

3.3.3.3 [110/65] via 172.16.23.3, 00:06:43, Serial0/0/1 
10.0.0.0/32 is subnetted, 1 subnets 

10.1.1.1 [110/65] via 172. 16.253. 35, 00:04:05, Serial0/0/1 
192.168.1.0/32 is subnetted, 1 subnets 

192.168.1.1 [110/65] via 172.16.12.1, 00:23:02, Serial0/2/1 
192.168.2.0/32 is subnetted, 1 subnets 

192.168.2.1 [110/65] via 172.16.12.1, 00:23:02, Serial0/2/1 


在 R3 上 查看 OSPF 相关 条 目 ， 


R3 € sh ip route ospf 


1.0.0.0/32 is subnetted, 1 subnets 
1.1.1.1 [110/129] via 172.16.23.2, 00:07:59, Serial0/2/1 
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2.0.0.0/32 is subnetted, 1 subnets 


0 2.2.2.2 [110/65] via 172.16.23.2, 00:07:59, Serial0/2/1 
172.16.0.0/24 is subnetted, 2 subnets 

0 172.16.12.0 [110/128] via 172.16.23.2, 00:07:59, Serial0/2/1 
192.168.1.0/32 is subnetted, 1 subnets 

0 192.168.1.1 [110/129] via 172.16.23.2, 00:07:59, Serial0/2/1 
192.168.2.0/32 is subnetted, 1 subnets 

0 192.168.2.1 [110/129] via 172.16.23.2, 00:07:59, Serial0/2/1 


3. 查看 OSPF 信息 
三 台 设 备 上 查看 OSPF 信息 。 这 里 以 路 由 天 RI fil. 


R1 # sh ip ospf 
Routing Process "ospf 1" with ID 192.168.2.1 
Supports only single TOS(TOS0) routes 
Supports opaque LSA 
SPF schedule delay 5 secs, Hold time between two SPFs 10 secs 
Minimum LSA interval 5 secs. Minimum LSA arrival 1 secs 
Number of external LSA 0. Checksum Sum 0x000000 
Number of opaque AS LSA 0. Checksum Sum 0x000000 
Number of DCbitless external and opaque AS LSA 0 
Number of DoNotAÀge external and opaque AS LSA 0 
Number of areas in this router is 1. 1 normal 0 stub 0 nssa 
External flood list length 0 
Area BACKBONE(0O) 
Number of interfaces in this area is 4 
Area has no authentication 
SPF algorithm executed 10 times 
Area ranges are 
Number of LSA 3. Checksum Sum 0x016bd2 
Number of opaque link LSA 0. Checksum Sum 0x000000 
Number of DCbitless LSA 0 
Number of indication LSA 0 
Number of DoNotAge LSA 0 
Flood list length 0 


从 中 可 以 看 到 路 由 器 ID 为 192.168. 2.1, 还 有 一 些 区 域 信息 、SPF 统计 信息 、LSA 定时 
六 信息 等 。 


4. 验证 路 由 器 ID 
三 台中 由 右上 通过 show ip ospf 查看 可 得 知 ， 
R1: Routing Process "ospf 1" with ID 192.168.2.1 


R2: Routing Process "ospf 1" with ID 2.2.2.2 
R3: Routing Process "ospf 1" with ID 10.1.1.1 
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路 由 器 R2 配置 了 环 回 接口 ,因此 采用 2.2. 2. 2 作为 路 由 器 ID ,而 路 由 器 R1 和 R3 B 
置 了 多 个 环 回 接口 ,所 以 选取 各 自 环 回 接口 中 IP 地 址 最 大 的 那个 作为 RID, 


5. 指定 路 由 器 ID 
可 以 用 router-id 命令 重新 指定 路 由 上 需 ID, 


Rl(config) # router ospf 1 

Rl(config-router) # router- id 1.1.1.1 

Reload or use "clear ip ospf process" command, for this to take effect 
Rl(config- router) # end 

R1 # clear ip ospf process 

Reset ALL OSPF processes? [no]: yes 


6. 查看 协议 信息 


通过 show ip protocols 命令 ,可 以 查看 路 由 带 当 前 运行 的 协议 信息 。 硅 当前 运行 
OSPF, 则 会 显示 OSPF 进程 ID,OSPF 路 由 器 ID.OSPF 区 域 类 型 等 。 除 此 之 外 ,还 有 当前 
OSPF 配置 的 网 络 与 区 域 的 信息 、 运 行 OSPF 的 邻居 路 由 器 的 ID 等 。 


R1 # sh ip protocols 
Routing Protocol is ospf 1" 
Outgoing update filter list for all interfaces is not set 
Incoming update filter list for all interfaces is not set 
Router ID 1.1.1.1 
Number of areas in this router is 1. 1 normal 0 stub 0 nssa 
Maximum path: 4 
Routing for Networks: 
1.1.1.0 0.0.0.255 area 0 
172.16.12.0 0.0.0. 255 area 0 
192.168.0.0 0.0. 255.255 area 0 


Routing Information Sources: 


Gateway Distance Last Update 
| 110 00:01:04 
re S Me; 110 00:08:12 
d.dog.3 110 OBSS Sd 


Distance: (default is 110) 


7. 查看 OSPF 协议 接口 .邻居 
通过 以 下 三 条 命令 ,可 以 了 解 到 OSPF 相关 的 接口 、 邻居 路 由 器 列表 等 信息 。 
Router # show ip ospf interface 


Router # show ip ospf neighbor 
Router it show ip ospf database 


通过 下 面 这 条 命令 ,可 以 了 解 到 对 应 OSPF 进程 的 相关 信息 。 
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R1 # show ip ospf < process- id» 
R1 # show ip ospf 1 


其 中 ,注意 show ip ospf neighbor 的 输出 信息 。 


在 RI MAAE: 

Neighbor ID Pri State Dead Time Address Interface 
3-299595 0 FULL/ - 00:00:34 172 ]65 12 2 Serial0/2/1 
在 R2 MHAE: 

Neighbor ID Pri State Dead Time Address Interface 
3.3.3.3 0 FULL/ - 00:00:32 1932 15.99 3 Serial0/0/1 
1 We qom 0 FULL/ — 00:00:37 172. 16.12.1 Serial0/2/1 
在 R3 路 由 器 上 : 

Neighbor ID Pri State Dead Time Address Interface 
2229 0 FULL/ — 00:00:31 172. 15.23.92 Serial0/2/1 


从 结果 中 可 知 , 点 对 点 型 网 络 中 ,不 选 人 举 DR 和 BDR, 
8. 查看 Debug 信息 


有 时 需要 查看 debug 信息 方便 排 错 。 可 以 通过 debug ip ospf events 开启 debug Ñ E. 
在 本 实验 中 ,通过 查看 事件 信息 ,可 以 看 到 通过 组 播 地 址 224.0. 0. 5 发 送 Hello £4. A zl 
现 邻 居 ,建立 邻接 关系 。 本 实验 还 验证 了 点 到 点 网 络 中 OSPF 不 选举 DR 和 BDR, 并 支持 
MD5 密 文 认证 。 


OSPF: Send hello to 224.0.0.5 area 0 on Serial0/2/1 from 172.16.12.1 
OSPF: Rcv hello from 2.2.2.2 area 0 from Serial0/2/1l 172.16.12.2 
OSPF: End of hello processing 


以 上 消息 为 debug ip ospf events 输出 示例 。 


型 网 络 配置 单 区 域 OSPF 实例 


7.4 广播 


7.4.1 实验 拓扑 

图 7-4 由 四 台 路 由 器 R1、R2、R3 和 R4 分 别 和 交换 机 SW 进行 连接 。 

7.4.2 实验 内 容 

(1) 对 各 路 由 器 进行 基础 配置 并 改名 ,接着 配置 各 个 接口 的 IP 地 址 与 状态 。 配 置 完成 
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后 ,可 以 用 CDP 协议 确认 是 否 按照 折 扑 正确 连接 。 然 后 ,可 以 用 show ip interface brief Æ 
看 各 接口 IP 地 址 与 状态 。 
(2) 在 四 人 台 路 由 融 上 配置 OSPF。 


图 7-4 广播 型 网 络 配置 单 区域 OSPF 拓扑 图 


7.4.3 实验 配置 
1. 对 各 路 由 器 进行 基础 配置 


基本 配置 4.5.5 有 有 介绍 ,这 里 不 再 重复 。 其 中 ,路 由 着 的 环 回 接口 (Loopback) 为 逻 
辑 接口 ,不 需要 no shutdown, LER HH s R1 为 例 ,配置 如 下 ,其 他 路 申 闫 操作 类似 。 


Ri(config)itint lo 0 

Rl(config- if) # ip add 1.1.1.1 255.255.255.0 
Ri(config- if) # exit 

Rl (config) # int fa 0/0 

Ril(config- if) # ip add 192.168.1.1 255.255.255.0 
Rl(config-if) # no shut 

Ri(config- if) # exit 


2. 在 四 人 台 路 由 器 上 配置 OSPF 

约定 进程 号 为 2, 区 域 号 为 0。 这 里 以 RI 为 例 , 其 他 路 由 器 操作 方法 类 似 : 
R1(config)#router ospf 2 

Rl(config-router) f router- id 1.1.1.1 

Rl(config-router) # network 1.1.1.0 0.0.0.255 area 0 


Rl(config-router) # network 192.168.1.0 0.0.0.255 area 0 
Rl(config-router) # end 


4 it FH ni Bo EL Te JUR. i A PER XE PE. S a RA A t H ar OSPF 学 习 到 的 路 由 信 
E OSPF 邻居 信息 以 及 OSPF 数据 库 。 


3. DR 与 BDR 选举 


默认 情况 下 ,OSPF 优先 级 最 高 的 路 由 器 会 选举 成 为 DR。 优先 级 范围 为 0 一 255 ,默认 
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为 1。 优 先 级 高 的 路 由 器 被 选举 为 DR, 当 人 为 将 优先 级 修改 为 0 后 , 则 该 路 由 器 不 参与 选 
举 。 厂 优先 级 相同 , 则 RID 最 大 的 那 台 路 由 需 被 选举 为 DR。 

需要 注意 ,在 上 面 的 实验 中 ,如 果 按 照 R1、R2、R3、R4 的 顺序 逐一 配置 ,通过 Show ip 
ospf nei 却 可 能 发 现 与 选举 的 规则 不 符 。 网 络 中 第 一 台 启 用 OSPF 的 路 由 器 启动 进程 时 ， 
网 络 中 并 没有 其 他 路 由 需 与 其 争 抢 , 因 此 该 设备 接口 认为 自己 是 DR。 但 这 并 不 代表 最 先 
启动 的 就 是 DR。 为 了 确保 正确 选举 ,应 在 各 路 由 器 OSPF 配置 完成 后 ,重启 各 路 由 需 ( 注 
意 保存 设置 ) 或 者 清除 当前 的 OSPF 进程 ,重新 进行 选举 。 

清除 当前 OSPF 进程 的 方法 如 下 ,其 中 2 为 进程 号 ,然后 输入 y 确认 清除 。 


R1 # clear ip ospf 2 process 
Reset OSPF process? [no]: y 


PI^ EH SAI OSPF 进程 ,重新 计算 一 次 SPF 算法 ,重新 计算 新 的 DR 和 BDR., 
清除 进程 后 ,各 台 路 由 器 上 可 以 观察 其 邻居 路 由 器 的 状态 。 
在 R1 路 由 闫 上 ,查看 OSPF $585 2X ds Fe 09€ DR 和 BDR 的 变化 情况 。 


R1 # sh ip os nei 


Neighbor ID Pri State Dead Time Address Interface 

2.2.2.2 1 2WAY/DROTHER 00:00:35 192.168.1.2 FastEthernet0/0 
33. 3-3 1 FULL/BDR 00:00:34 192.168.1.3 FastEthernet0/0 
4.4.4.4 1 FULL/DR 00:00:38 192.168.1.4 FastEthernet0/0 


在 R2 MAAE AA OSPF 4s XX ds Fe 9€ DR 和 BDR 的 变化 情况 。 


R2 # sh ip os nei 


Neighbor ID Pri State Dead Time Address Interface 

人 To 1 2WAY/DROTHER 00:00:31 192.168.1.1 FastEthernet0/0 
3.3.3.3 1 FULL/BDR 00:00:32 192.168.1.3 FastEthernet0/0 
4.4.4.4 1 FULL/DR 00:00:35 192.168.1.4 FastEthernet0/0 


在 R3 MAAE AA OSPF 4s 2X ds FE ,观察 DR 和 BDR 的 变化 情况 。 


R3 # sh ip os nei 


Neighbor ID Pri State Dead Time Address Interface 
Dot 1 FULL/DROTHER 00:00:30 192.168. 1.1 FastEthernet0/0 
2.2.2.2 1 FULL/DROTHER 00:00:31 192.168.1.2 FastEthernet0/0 
4.4.4.4 1 FULL/DR 00:00:34 192.168.1.4 FastEthernet0/0 
R31 


在 人 R4 路 由 关上 ,得 看 OSPF 邻居 数据 库 , 观 察 DR 和 BDR 的 变化 情况 。 


R4 # sh ip ospf neighbor 


Neighbor ID Pri State Dead Time Address Interface 
QE L l 1 FULL/DROTHER 00:00:33 192.168 1:1 FastEthernet0/0 
DOC e. T FULL/DROTHER 00:00:34 192.168.1.2 FastEthernet0/0 


Iaa 1 FULL/ BDR 00:00:33 192.168.1.3 FastEthernet0/0 
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通过 观察 结果 可 以 发 现 , 在 优先 级 相同 的 情况 下 ,路 由 疾 ID 最 大 的 R4 已 经 顺利 成 为 
DR, 次 之 的 R3 成 为 BDR 。 
4. 修改 优先 级 
通过 修改 路 由 天 接口 上 OSPF 的 优先 级 ,然后 进行 重新 选举 。 例 如 ， 


R3(config) # int f0/0 
R3(config-if) # ip ospf priority 10 


更 改 优 先 级 后 ,R3 的 {0/0 接口 优先 级 为 10, 其 他 路 由 器 的 接口 优先 级 为 1。 此 时 ,各 
路 由 需 都 要 再 次 清除 OSPF 进程 ,才能 重新 进行 DR/BDR 选举 。 


R1 #clear ip ospf 2 process 


选举 完成 后 ,查看 OSPF 邻居 信息 ,确认 是 否 重 新 选举 DR/BDR, 
在 R1 路 由 大 上 ,查看 OSPF 邻居 数据 库 , 观 察 DR 和 BDR 的 变化 情况 。 


R1 # sh ip os nei 


Neighbor ID Pri State Dead Time Address Interface 
2.2.2.2 1 2WAY/DROTHER 00:00:36 192.168.1.2 FastEthernet0/0 
.3 10 FULL/DR 00:00:35 192.168.1.3 FastEthernet0/0 
4.4.4.4 1 FULL/BDR 00:00:37 192.168.1.4 FastEthernet0/ 


在 R2 路 由 大 上 ,查看 OSPF 邻居 数据 库 , 观 察 DR 和 BDR 的 变化 情况 。 


R2 # sh ip ospf neighbor 


Neighbor ID Pri State Dead Time Address Interface 

JE Doer 1 2WAY/DROTHER 00:00:34 192.168.1.1 FastEthernet0/0 
ded 323 10 FULL/DR 00:00:34 192.168.1.3 FastEthernet0/0 
4.4.4.4 1 FULL/BDR 00:00:35 192.168.1.4 FastEthernet0/0 


E R3 路 由 关上 ,查看 OSPF 邻居 数据 库 , 观 察 DR 和 BDR 的 变化 情况 。 


R3 # sh ip ospf neighbor 


Neighbor ID Pri State Dead Time Address Interface 

ER E E | 1 FULL/DROTHER 00:00:34 192.168.1.1 FastEthernet0/0 
2.2.2.9 1 FULL/DROTHER 00:00:35 192.168.1.2 FastEthernet0/0 
4.4.4.4 1 FULL/BDR 00:00:35 192.168.1.4 FastEthernet0/0 


在 人 4 路 由 关上 ,查看 OSPF 邻居 数据 库 , 观 察 DR 和 BDR 的 变化 情况 。 


R4 # sh ip ospf neighbor 


Neighbor ID Pri State Dead Time Address Interface 
D DE 1 FULL/DROTHER 00:00:39 197. 168. 1.1 FastEthernet0/0 
2 20S 1 FULL/DROTHER  . 00:00:39 192.168.1.2 FastEthernet0/0 


3.3.3.3 10 FULL/DR 00:00:38 192.168.1.3 FastEthernet0/0 
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结果 中 可 以 看 到 ,R3 的 接口 优先 级 高 ,顺利 成 为 DR。 剩余 的 三 台 路 由 需 因 优先 
wo ID 最 大 的 R4 作为 BDR., 
如 果 将 接口 OSPF 优先 级 改 为 0, 则 该 路 由 需 接 口 不 再 参与 选举 。 有 关 配 置 读 者 可 以 
日 行 尝 试 。 


7.5 OSPF 简单 口令 认证 实例 


7.5.1 实验 拓扑 


计算 机 学院 和 通信 学 院 各 有 一 台中 由 兹 ,分 别 为 RI 和 R2, 它 们 通过 串口 线 互 联 。 如 
图 7-5 所 示 ,两 台 路 由 辫 RI 和 R2 均 位 于 area 0 中 。 


m 0 -—-— E e ， 


"m area 0 LN - 
pt 222204 "x 
ral b 
/ loopback 0 N 
/ \ 
/ p A 
1 计算 机 学 院 | | | 
|! l 
^ / 
Sl loopback 0 X E i 


— 
— — 一 一 一 — — Ld — 


图 7-5 OSPF 简单 口令 认证 


7.5.2 实验 内 容 


(1) 计算 机 和 学院 路 由 天 RI 与 通信 学院 路 由 硕 人 2 之 间 启 用 OSPF 协议 。 
(2) 计算 机 尝 院 路 由 送信 1 与 通信 学院 路 由 送信 2 之 间 司 用 简单 口令 (明文 ) 认 证 。 


7.5.3 实验 配置 
1. 配置 计算 机 学 院 路 由 颖 RI 


在 计算 机 学 院 路 由 右 RI 上 局 用 OSPF 中 由 协议 进程 ,指定 RID, 将 和 直 连 路 由 宣告 进 
OSPF ,然后 局 用 简单 口令 认证 。 


Rl (config) 井 router ospf 1 

Ril(config-router)it router- id 1.1.1.1 

Rl(config-router) # network 1.1.1.0 0.0.0.255 area 0 

Rl(config-router) # network 192.168.12.0 0.0.0.255 area 0 

Rl(config) # interface s0/0/0 

Rl(config-if) f ip ospf authentication // 链 路 局 用 简单 口令 认证 
Rl(config-if)# ip ospf authentication-key cisco // 配 置 认证 密码 为 cisco 
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2. 配置 通信 和 学院 路 由 希 R2 


在 通信 和 学院 路 由 右 R2 上 启用 OSPF 路 由 协议 进程 ,指定 RID, 将 直 连 路 由 宣告 进 
OSPF ,然后 局 用 简单 口令 认证 。 


R2(config) 井 router ospf 1 

R2(config-router) # router- id 2.2.2.2 

R2(config-router) # network 2.2.2.0 0.0.0.255 area 0 

R2(config-router) # network 192.168.12.0 0.0.0.255 area 0 

R2(config) 井 interface s0/0/0 

R2(config-if) * ip ospf authentication 

R2(config-if) # ip ospf authentication-key cisco // 配 置 认 证 密码 


7.5.4 实验 结果 分 析 
在 RI 路 由 器 上 ,查看 接口 状态 。 


Rl1# show ip ospf interface s0/0/0 

Serial0/0/0 is up, line protocol is up 

Internet Address 192.168.12.1/24, Area 0 

Process ID 1, Router ID 1. 1.1. 1, Network Type POINT TO POINT, Cost: 781 
Transmit Delay is 1 sec, State POINT TO POINT 

Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5 
oob-resync timeout 40 

Hello due in 00:00:09 

Supports Link- local Signaling (LLS) 

Cisco NSF helper support enabled 

IETF NSF helper support enabled 

Index 1/1, flood queue length 0 

Next 0x0(0)/0x0(0) 


Last flood scan length is 1, maximum is 1 

Last flood scan time is 0 msec, maximum is 0 msec 

Neighbor Count is 1, Adjacent neighbor count is 1 

Adjacent with neighbor 2.2.2.2 

Suppress hello for 0 neighbor(s) 

Simple password authentication enabled // 司 用 简单 口令 认证 


各 出 现 上 述 代码 提示 ,表明 该 路 由 兹 接口 启用 OSPF 简单 口令 认证 : 


* Feb 10 11:22:33.074: OSPF: Rcv pkt from 192.168.12.1, Serial0/0/0 : Mismatch 
/7 口令 不 匹配 


各 出 现 上 述 代 码 提 示 , 则 表明 R2 启用 认证 的 密 钥 与 R1 不 一 致 。 


* Feb 10 11:19:33.074: OSPF: Rcv pkt from 192.168.12.1, Serial0/0/0 : Mismatch 
Authentication type. Input packet specified type 1 1, we use type 0 0 // 认 证 未 开局 
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右 出 现 上 述 代 人 码 提 示 , 则 表明 R2 未 局 用 认证 。 


7.6 OSPF MD5 认证 实例 


7.6.1 实验 拓扑 
实验 拓扑 图 仍 采用 图 7-5 所 示 的 网 络 结构 。 
7.6.2 实验 内 容 


(1) HR PL bin H Ar RI 与 通信 学院 路 由 融 R2 之 间 启 用 OSPF 协议 。 
(2) 计算 机 学院 路 由 病人 1 与 通信 和 学 院 路 由 大 R2 之 间 启 用 MD5 认证 。 


7.6.3 实验 配置 
1. 配置 计算 机 学 院 路 由 器 R1 


在 计算 机 学 院 路 由 天 RI 上 启用 OSPF 协议 进程 ,指定 RID, 然 后 将 直 连 链 路 宣告 进 
OSPF 协议 ,最 后 局 用 MD5 认证 。 


Rl(config) # router ospf 1 

Ril(config-router)itrouter- id 1.1.1.1 

Rl(config-router) # network 1.1.1.0 0.0.0.255 area 0 

Rl(config-router) # network 192.168.12.0 0.0.0.255 area 0 

Ri (config) # interface s0/0/0 

Rl(config-if)# ip ospf authentication message- digest // 接 口 s0/0/0 启用 MD5 认证 
Rl(config-if) 4 ip ospf message-digest-key 1 md5 cisco  // 配 置 key ID A ER 


2. 配置 通信 学 院 路 由 希 R2 


在 通信 学 院 路 由 天 R2 上 局 用 OSPF 协议 进程 ,指定 RID, 然 后 将 直 连 链 路 宣告 进 
OSPF 协议 ,最 后 局 用 MD5 认证 。 


R2(config) # router ospf 1 

R2(config-router)it router- id 2.2.2.2 

R2(config-router)it network 2.2.2.0 0.0.0.255 area 0 

R2(config-router)it network 192.168.12.0 0.0.0.255 area 0 

R2(config) 井 interface s0/0/0 

R2(config-if) 4 ip ospf authentication message- digest 

R2(config-if)itip ospf message-digest-key 1 md5 cisco // 配 置 key ID A E Ut 


7.6.4 实验 结果 分 析 


在 计算 机 学 院 路 由 器 R1 上 ,查看 OSPF 接口 s0/0/0 的 状态 ,如 下 所 示 
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R1# show ip ospf interface s0/0/0 

Serial0/0/0 is up, line protocol is up 

Internet Address 192.168.12.1/24, Area 0 

Process ID 1, Router ID 1.1.1.1, Network Type POINT TO POINT, Cost: 781 
Transmit Delay is 1 sec, State POINT TO POINT 

Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5 
oob-resync timeout 40 

Hello due in 00:00:00 

Supports Link- local Signaling (LLS) 

Cisco NSF helper support enabled 

IETF NSF helper support enabled 

Index 1/1, flood queue length 0 

Next 0x0(0)/0x0(0) 

Last flood scan length is 1, maximum is 1 

Last flood scan time is 0 msec, maximum is 0 msec 

Neighbor Count is 1, Adjacent neighbor count is 1 

Adjacent with neighbor 2.2.2.2 

Suppress hello for 0 neighbor(s) 

Message digest authentication enabled / [ Ji FH MD5 认证 
Youngest key id is 1 


REE E XR TIS ion. DU] E HH TA Pit HI Art HR H OSPF MD5 认证 。 


* Feb 10 11:08:13.075: OSPF: Rcv pkt from 192.168.12.1, Serial0/0/0 : Mismatch 
// 认 证 类 型 不 匹配 


[Bp Hh ER FS De zs. UI K BH P3 f gt HH Ar a H BI TA UEZS IS — SC. R1 局 用 MD5 iA 
证 ,R2 局 用 简单 口令 认证 。 
* Feb 10 11:31:13.078: OSPF: Rcv pkt from 192.168.12.1, Serial0/0/0 : Mismatch 
Authentication Key - No message digest key 1 


Mismatch 


Authentication Key - No message digest key 1 on interface 


假如 出 现 上 述 代 码 提示 , 则 表明 两 端 密 铀 和 Key ID 不 一 致 。 


7.7 不 连续 区 域 的 解决 万 法 


7.7.1 实验 拓扑 


某 高 校 工科 有 计算 机 学 院 .通信 学 院 、 信 息 学 院 和 网 络 空间 安全 学 院 共 四 个 和 学院, 每 个 
学 院 的 边界 都 有 一 台 路 由 器 ,分 别 为 R1、R2、R3 和 了 R4, 这 些 路 由 器 之 间 通 过 串口 线 相互 连 
接 , 将 四 个 学 院 组 成 一 个 网 络 ,并 分 别处 于 不 同 的 区 域 中 ,如 图 7-6 所 示 , 以 共 圣 学 院 资 源 。 


7.7.2 实验 内 容 
CD 根据 图 7-6, 完 成 4 台 路 由 器 R1.R2、R3、R4 的 基本 配置 ,测试 直 连 链 路 连通 性 。 


No 路 由 交换 技术 与 实验 
(2) 4 台中 由 器 RI.R2, R3.RA 根据 拓扑 图 配置 OSPF 路 由 协议 。 
(3) 各 路 由 器 将 RID 设置 为 环 回 接口 地 址 。 
(4) 配置 虚 链 路 解决 不 连续 OSPF [IX fai [n] Bi , 


1.1.1.1/24 2.2.2.2/24 3.3.3.3/24 4.4.4.4/24 
Loopback 0 m Loopback 0 n Loopback 0 m Loopback 0 
S ^1192.168.12.0/24 ^^ N Q ^^ 192.168.23.0/24 ^ N (/ ^^ 1192.168.34.0/24 ^ « 
/ x / N / 


计算 机 学 院 \、 i n 网 络 空 间 
"-. Area0 _- -Saat `s Amal -信息 学 院 >L Area0 -l 安全 学 院 


图 7-6 不 连续 区 域 的 解决 方法 


7.7.3 实验 配置 
在 各 学院 路 由 天 上 完成 基本 配置 ,连通 性 测试 完成 后 ,开始 OSPF 协议 的 配置 。 
1. 配置 计算 机 学 院 路 由 器 R1 


在 计算 机 学 院 路 由 右 RI 上 启用 OSPF 协议 进程 ,指定 RID, 人 然后 将 直 连 链 路 宣告 进 
OSPF 协议 。 


Rl(config) 井 router ospf 1 

Rl(config-router)it router-id 1.1.1.1 
Ri(config-router)it network 1.1.1.0 0.0.0.255 area 0 
Rl(config-router) # network 192.168.12.0 0.0.0.255 area 0 


2. BO Eri fs te pe g H ua R2 


在 通信 和 学院 路 由 器 R2 上 启用 OSPF 协议 进程 ,指定 RID, 然 后 将 直 连 链 路 宣告 进 
OSPF 协议 ,并 开局 虚 链 路 。 


R2(config) # router ospf 1 

R2(config-router)it router- id 2.2.2.2 

R2(config-router) # network 2.2.2.0 0.0.0.255 area 0 
R2(config-router)it network 192.168.12.0 0.0.0.255 area 0 
R2(config-router)it network 192.168.23.0 0.0.0.255 area 1 
R2(config-router) # area 1 virtual- link 3.3.3.3 // 配 置 虚 链 路 


置 虚 链 路 时 ,area 1 为 虚 链 路 穿越 的 区 域 , 指 癌 建立 虚 链 路 的 对 端 路 由 右 RID, 即 在 
R2 上 配置 指向 R3 的 RID 3.3.3.3, 
3. 配置 信息 学 院 路 由 器 R3 


在 信息 学 院 路 由 央 R3 上 局 用 OSPF 协议 进程 ,指定 RID, 然 后 将 直 连 链 路 宣告 进 
OSPF 协议 ,并 开局 虚 链 路 。 
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R3(config) # router ospf 1 

R3(config-router) # router- id 3.3.3.3 

R3(config-router) # network 3.3.3.0 0.0.0.255 area 0 
R3(config-router) # network 192.168.23.0 0.0.0.255 area 1 
R3(config-router) # network 192.168.34.0 0.0.0.255 area 0 
R3(config-router) # area 1 virtual-link 2.2.2.2 // 配 置 虚 链 路 


配置 虚 链 路 时 area 1 为 虚 链 路 穿越 的 区 域 , 指 回 建 立 虚 链 路 的 对 端 路 由 需 RID, 这 里 
对 端 路 由 器 为 人 2,RID 为 2.2.2.2, 


4. 配置 网 络 空 间 安 全 尝 院 路 由 病 R4 


在 网 络 空间 安全 学 院 路 由 器 R4 上 启用 OSPF 协议 进程 ,指定 RID, 然 后 将 直 连 链 路 宣 
告 进 OSPF 协议 。 


RA(config) # router ospf 1 

RA(config-router)it router- id 4.4.4.4 

RA(config-router) # network 4.4.4.0 0.0.0.255 area 0 
RA(config-router) # network 192.168.34.0 0.0.0.255 area 0 


7.7.4 实验 结果 分 析 
查看 计算 机 和 学院 R1 的 路 由 表 ,主要 看 OSPF ARH: 


R1 井 show ip route ospf 

2.0.0.0/24 is subnetted, 1 subnets 

02.2.2.0 [110/65] via 192.168.12.2, 00:04:42, Serial0/0/O 

3.0.0.0/24 is subnetted, 1 subnets 

0 3.3.3.0 [110/129] via 192.168. 12. 2, 00:04:42, Serial0/0/0 
4.0.0.0/32 is subnetted, 1 subnets 

04.4.4.4 [110/193] via 192.168.12.2, 00:04:42, Serial0/0/0 

O IA 192.168.23.0/24 [110/128] via 192.168.12.2, 00:04:42, Serial0/0/O 
O 192.168.34.0/24 [110/192] via 192.168.12.2, 00:04:42, Serial0/0/O 


发 现 R1 收 到 R3.RA 之 间 的 路 由 信息 , 且 标 记 为 0, 因 为 两 个 骨干 区 域 0 由 虚 链 路 重新 
连接 起 来 ,由 于 虚 链 路 默认 为 骨干 区 域 , 故 RI 收 到 R3、R4 的 路 由 后 也 将 路 由 标记 为 O. 


7.8 SE HX, TER E 


7.8.1 实战 演练 一 
1. 实战 拓扑 


某 高 校 工科 有 计算 机 学 院 ,通信 和 学院、 信息 学 院 和 网 络 空间 安全 学 院 共 四 个 学 院 , 每 个 
学 院 的 边界 都 有 一 台 路 由 器 ,分 别 为 RI.R2.R3 和 R4, HP RI,R2,R3 通过 交换 机 SW 组 
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成 一 个 局 域 网 , R4 分 别 与 RICE R3 通过 串口 线 相 互 连 接 , 将 四 个 学 院 组 成 一 个 网 络 , 如 
图 7-7 所 示 «VA d 5E Sg be vt UR. 


B 222274 
| Loopback 0 


int 


通信 学院 
|.1.1.1/24 
Loopback 0 F0/0 3.3.3.3/24 
F0/2 Loopback 0 0 
pur" 


网 络 空间 OON 4.4.4.4/24 
Ze O Loopback 0 


图 7-7 实战 演练 一 拓扑 图 


2. 实验 内 容 


(OD 给 网 络 中 各 子 网 设计 IP 地 址 与 子 网 掩 码 , 并 在 各 学 院 路 由 关上 进行 基本 配置 , 包 
括 路 由 天 名 称 、 接 口 IP 地 址 等 ,并 测试 直 连 链 路 连通 性 。 

(2) 分 析 路 由 : RI 上 需要 配置 哪些 OSPF 路 由 ? R2、R3 和 R4 È? 

(3) 在 各 学 院 路 由 硕 上 进行 OSPF 的 基本 配置 。 

(4) 等 待 一 段 时 间 后 ,在 各 学 院 路 由 大 上 查看 路 由 表 , 观 察 路 由 协议 代码 .管理 距离 和 


度量 值 等 信息 。 
(5) 测试 连通 性 。 配 置 好 OSPF 协议 后 ,看 各 和 学院 路 由 天 是 人 否 能 够 ping 通 其 他 网 段 的 
IP 地 址 。 


(6) 观察 路 由 的 动态 过 程 : 在 路 由 器 3 上 关闭 {0/0 接口 ,等 待 一 段 时 间 后 ,在 各 路 申 器 
上 查看 路 由 表 ; 重新 在 路 由 器 3 上 开启 {0/0 接口 ,等 待 一 段 时 间 后 ,在 各 路 由 器 上 查看 路 
由 表 。 

(7) 在 Rl1 上 使 用 命令 查看 相关 信息 


show 1ip ospf neighbor 
show ip ospf database 


(8) Æ R1 的 接口 上 修改 路 由 此 的 优先 级 ,查看 相关 信息 是 否 有 变化 ? 
3. 思考 题 


COD 在 这 些 路 由 器 中 , 谁 是 DR? 谁 是 BDR? 为 什么 ?其 他 路 由 器 呢 ? R4 有 没有 可 能 
成 为 DR? 
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(2) 优先 级 改变 并 重启 路 由 器 的 OSPF 协议 进程 后 ,再 次 执行 步骤 (7) ,查看 DR 、BDR 
是 否 发 生变 化 ? 并 且 它 们 的 IP 地 址 是 多 少 ? 
(3) 路 由 器 R3 上 关闭 f0/0 接口 后 ,观察 路 由 表 是 否 发 生变 化 ? 从 R2 到 达 R4 的 路 由 
是 经 过 什么 路 由 器 ? 


7.8.2 实战 演练 二 
1. 实战 拓扑 图 


与 图 7-6 的 拓扑 结构 和 网 络 环境 相 比 ,图 7-8 中 的 四 个 学 院 路 由 器 RI,R2,R3 M RA £j 
成 了 三 个 子 网 ,并 分 别处 于 不 同 的 OSPF dm, 


192.168.1.1/24 2.2.2.2/24 3.3.3.3/24 44.4424 
192. i511 Tu 7 _ Loopback0 - Loopback 0 
Loopback 2 TA Paj ^ Virtual-link ~、、 | " ud " ii 2 
192.168.3.1/24 Fd *1 168.12. T S 4^ 192.168.23.004 、 7 192.168.34.0 04 ^. t 
Loopback 3 ^ dí — m — a9" iE —— 
192 D 68.4.13 -— ^. - 


! 0/0 == mE 
计算 机 学 院 、 o T m ,网 络 空间 


_ “重信 学 院 、 - ^7 信息 学 院 ~、 Area 0 di po 
“~ Areal . ~_Area2_- ~ ~ Areal- 安全 学 院 


图 7-8 ”实战 演练 二 拓扑 图 


2. 实战 内 容 


(D 在 各 学 院 路 由 大 上 进行 基本 配置 ,规划 子 网 IP 地 址 后 配置 路 由 器 名 称 、 接 口 IP 地 

(2) 按 拓扑 图 配置 各 学 院 路 由 器 的 回环 接口 IP 地 址 ,并 且 把 回环 接口 地 址 作为 该 路 由 
f& HJ RID, 

(3) 配置 相应 的 区 域 0、 区 域 1 、 区 域 2, 把 回环 接口 和 直 连 接口 都 宣告 进 OSPF 路 由 协 
议 ,R1 选举 为 DR.R2 不 参与 选举 (宣告 改 优先 级 ,回环 接口 可 任 选 ED. 

(4) 在 接口 下 面 启用 OSPF 认证 ,认证 模式 为 MD5 ,密码 为 CISCO 。 

(5) 开启 debug ,查看 邻居 建立 的 过 程 ( 关 闭 debug 命令 为 undebug all ,直接 输入 后 回 
车 即 可 ,不 要 在 意 是 否 会 中 断 )。 

(6) 在 区 域 2 中 配置 虚 链 路 ,并 有 旦 配置 MD5 认证 ,密码 为 CISCO( 虚 链 路 要 求 两 端 同时 
配置 ) 。 

CD fr fite both ss R2 上 对 计算 机 学 院 路 由 天 RI 的 回环 接口 192. 168. 1. 0、2. 0、 
3. 0,4. 0 这 四 个 路 由 条 目 进行 汇总 ,并 且 将 RI 的 这 四 个 回环 接口 配置 成 为 被 动 接口 。 保 证 
R4 学 到 的 是 一 个 汇总 路 由 条 目 , 并 且 观 察 R2、R3 、R4 的 路 由 条 目 变 化 ,会 发 现 多 了 一 条 指 
H) Nullo 的 路 由 条 目 ,讨论 其 具体 作用 ,并 观察 不 同 区 域 之 间 学 习 到 的 路 由 条 目 与 前 面 的 路 
由 标识 是 否 有 差异 。 

(8) 保证 4 个 学 院 的 路 由 器 之 间 的 所 有 回环 口 都 能 互相 访问 。 
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匀 题 与 思考 


1. 动态 路 由 协议 中 ,已 经 有 了 RIP 和 EIGRP 协议 了 ,为 何 还 要 OSPF 协议 呢 ? 有 什么 
特别 优势 吗 ”? 

2. OSPF 是 如 何 实现 有 效 扩 展 的 ? 其 扩展 方法 和 EIGRP 协议 相 比 有 何不 同 ? 哪 种 协 
议 更 适合 超大 规模 的 网 络 环 境 ? 

3. SPF 算法 和 DUAL 算法 相 比 ,那个 效率 更 高 ? 模拟 搭建 一 个 网 络 环境 ,用 程序 实现 
— RE, 

4. 采用 RIP,EIGRP,OSPF 这 三 种 动态 路 由 协议 ,分别 转发 数据 包 时 ,其 传输 效率 有 
何 区 别 ? 你 能 搭建 一 个 拓扑 结构 图 ,然后 分 别 测试 一 下 从 源 端 发 送 一 个 100MB 的 数据 到 目 
HS) sgg XX 3 种 协议 分 别 需 要 花 多 少时 间 ? 

5. 在 实战 演练 二 中 ,除了 Virtual-link 可 以 解决 不 同 非 0 区 域 直 接 路 由 条 目 传 递 , 还 有 
其 他 种 方法 可 以 实现 实验 要 求 , 有 兴趣 的 同学 可 以 进行 讨论 (例如 局 动 不 同 的 OSPF 进程 ， 
然后 将 相应 条 目 进行 路 由 重 分 配 ) 。 配 置 不 同 子 网 手 码 能 否 建立 OSPF 邻居 关系 ?在 以 太 
网 环境 和 串 行 链 路 环境 分 别 测 试 。sh ip os database 观察 数据 库 详 细 信 息 , 研 究 不 同 的 
LSA 的 作用 。 

6. OSPF 是 一 种 非常 庞大 的 协议 ,除了 本 章 内 容 之 外 ,还 有 许多 的 扩展 特征 ,包括 IPv6 
环境 下 的 OSPF 协议 , 感 兴趣 的 同学 请 大 家 网 络 上 找 些 资料 进一步 学 习 和 人 研究 。 

7. 如 果 需 要 对 RIP, EIGRP, OSPF 这 三 种 动态 路 由 协议 进行 系统 的 比较 分 析 , 你 打算 
从 哪些 方面 着 手 ? 请 用 列表 展示 。 
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当 我 们 需要 在 校园 网 内 部 共享 图 书馆 电子 数据 库 、 在 线 课程 或 视频 点 播 资 源 时 ,就 需要 
采用 快速 数据 交换 。 本 章 首先 解释 为 什么 需要 交换 ,接着 介绍 第 二 层 交 换 技 术 的 基本 知识 ， 
包括 两 补 交换 方法 和 区 措 机 的 三 种 交换 功能 ,交换 的 优越 性 和 局 限 性 ; 然后 讲授 宛 余 拓扑 

结构 给 交换 式 网 络 造 成 的 物理 环 路 ,并 由 此 市 来 的 各 种 严重 问题 ,解决 这 类 问题 的 最 好 途径 
是 生成 树 协议 ,介绍 生成 树 协议 的 基本 概念 和 工作 原理 ,让 学 生 深 入 理解 生成 树 协议 并 能 够 
使 用 生成 树 协议 解决 交换 式 网 络 的 环 路 问题 。 本 章 让 学 生 全 面 深 入 了 解 交换 的 相关 技术 和 
交换 机 的 配置 方法 。 


8.1 


学 过 了 路 由 与 路 申 协议 ,本 节 主 要 解释 网 络 有 了 路 由 后 为 什么 还 需要 交换 ,以 及 交换 的 
实现 设备 。 


8.1.1 交换 之 问 


在 第 4 一 7 草 的 学 习 中 ,我 们 擎 握 了 路 由 选择 原理 与 路 由 协议 的 配置 方法 ,更 懂得 了 路 
由 疾 如 何 实 现 路 由 功能 。 接 下 来 要 进入 到 交换 技术 与 交换 协议 的 学 习 中 , 冯 先 市 者 如 下 两 
个 问题 开始 天 于 交换 技术 的 和 学习 。 

问题 一 : 已 经 有 了 路 由 技术 和 路 由 融 , 为 什么 还 需要 交换 技术 和 交换 机 呢 ? 什么 
换 技 术 ? 交换 方式 有 哪些 ? 用 于 实现 交换 技术 的 交换 机 有 哪些 功能 ? 

问题 二 : 为 了 提高 网 络 性 能 ,可 以 采取 元 余 拓扑 结构 ,其 主要 优点 是 什么 ? 但 元 余 拓扑 
结构 却 给 网 络 市 来 物理 环 路 ,路 由 协议 可 以 解决 网 络 层 形成 的 环 路 问题 ,而 在 数据 链 路 层 上 
形成 的 物理 环 路 却 坚 无 办 法 ,物理 环 路 能 导致 哪些 严重 问题 ?如 何 解 雇 ? 

再 回顾 一 下 第 4 章 路 由 疮 是 如 何 处 理 数据 包 的 。 路 由 带 每 收 到 一 个 数据 包 都 要 经 过 拆 
包 查 表 ,、 重 新 封装 、 转 发 四 个 过 程 ,消耗 路 由 需 的 计算 和 存储 资源 ,也 给 数据 包 的 转发 带 来 
较 大 时 延 。 在 校园 网 内 部 ,学 生 经 和 常 要 访问 党校 图 书馆 数据库 ,老师 经 党 需要 访问 教务 人 处、 
科技 人 处、 教师 工作 部 等 部 门 ,还 要 访问 信息 中 心 的 在 线 课程 .视频 资源 等 。 根 据 网 络 访问 的 
二 八 原 则 ,内 网 的 访问 流量 占 整个 网 络 的 80% ,外 网 的 访问 流量 占 整 个 网 络 的 2076. TE AU 
校园 网 80% 的 内 部 网 络 流量 都 经 过 路 由 兹 处 理 , 每 个 数据 包 都 经历 拆 包 、 查 表 、 重 新 封装 、 
转发 四 个 过 程 ,势必 严重 影响 整体 网 络 的 性 能 。 
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那么 ,在 校园 网 内 部 ,有 没有 快速 实现 数据 转发 的 途径 呢 ? 有, 那 就 是 交换 技术。 交换 
在 默认 情况 下 工作 在 数据 链 路 层 , 只 检查 和 解析 数据 帧 ,结合 直通 转发 等 快速 处 理 方 式 , 加 
上 超大 规模 集成 电路 的 发 展 , 促 使 实现 快速 数据 转发 。 本 曹 和 第 9.10 草 将 详细 介绍 什么 是 
交换 技术 .交换 的 方式 .交换 机 的 主要 功能 .交换 协 议 的 原理 与 配置 方法 。 

交换 网 络 和 路 由 网 络 一 样 ,为 了 提高 网 络 的 可 靠 性 ,需要 构建 元 余 网 络 结构 ,形成 物理 
环 路 。 而 物理 环 路 同样 会 带 来 重复 帧 .MAC 地 址 不 稳定 和 广播 风暴 等 诸多 问题 ,严重 影响 
数据 交换 的 性 能 ,所 以 本 和 章 还 将 详细 介绍 寻 致 这 些 严重 问题 的 原因 ,以 及 如 何 有 效 解决 。 

E ETIE ,在 局 域 网 环境 中 ,主要 用 到 快速 交换 技术 ,由 交换 机 实现 交换 功能 。 交 换 机 
有 多 种 类 型 ,有 文 持 多 业务 的 路 由 交换 机 ,可 以 作为 核心 层 交 换 机 ; 有 三 层 以 上 交换 机 ,可 
以 作为 汇聚 层 交 换 机 ; 还 有 二 层 交 换 机 ,可 以 作为 接 入 层 交 换 机 。 本 革 还 将 介绍 交换 机 的 
基本 配置 方法 。 


8.1.2 交换 术语 


交换 技术 涉及 如 下 几 个 重要 的 术语 。 

CD 交换 。 从 广义 上 讲 , 任 何 数据 的 转发 都 可 以 称 为 交换 。 但 是 ,传统 .狭义 的 交换 是 
指 二 层 交 换 技 术 , 仅 包 括 数据 链 路 层 的 数据 帧 转发 。 

(2) 交换 机 。 通 过 超大 规模 集成 电路 实现 交换 技术 的 网 络 设备 ,有 二 层 交 换 机 、 三 层 交 
换 机 应 用 层 交 换 机 等 多 种 不 同类 型 的 交换 机 。 

(3) 网 桥 。 通 过 软件 实现 交换 功能 的 早期 网 络 设 备 , 有 些 概念 ,如 桥 ID 一 直 沿 用 到 现 
在 ,现在 交换 机 的 ID 也 称 桥 ID, 

(4) 桥 IDCGBridge ID). BID 用 来 识别 网 络 中 的 每 一 台 交 换 机 /网 桥 。BID 的 数据 结构 
由 优先 级 (默认 情况 下 所 有 思科 交换 机 的 优先 级 都 为 32768) 和 桥 MAC 地 址 组 成 。 在 网 络 
中 最 小 BID 的 交换 机 用 来 确定 网 络 的 中 心 ,该 中 心 在 生成 树 协议 中 称 为 根 桥 。 

(5) 链 路 开销 (cost) 。 链 路 cost 是 基于 链 路 速率 的 , 链 路 带宽 越 大 、 链 路 速率 就 越 大 ， 
链 路 cost 就 越 小 ,反之 就 越 大 。 链 路 开销 是 最 短路 径 中 每 段 链 路 cost 的 累加 和 。 

(6) 桥 协 议 数 据 单 元 (BPDU)。 交 换 机 发 送 的 创建 逻辑 无 环 路 的 数据 包 称 为 BPDU, 
BPDU 是 一 种 生成 树 协议 问候 数据 包 , 它 以 可 配置 的 时 间 间 隔 发 出 ,用 来 在 网 络 的 网 桥 / 交 
换 机 间 进 行 信息 交换 。BPDU 在 阻塞 的 接口 上 也 可 以 接收 ,这 确保 如 果 链 路 或 设备 出 现 问 
题 ,新 的 生成 树 会 被 计算 。 默 认 情 况 下 ,BPDU 每 2s 发 送 一 次 。 

C) 生成 树 协 议 (STP)。 用 来 解决 交换 网 络 中 的 物理 环 路 问题 ,通过 阻塞 某 个 接口 快 
速生 成 逻辑 无 环 结构 , 当 正常 网 络 发 生 故 障 时 ,在 阻塞 接口 上 接收 BPDU 重新 计算 生成 树 ， 
将 阻塞 接口 转变 为 转发 接口 ,从 而 保证 网 络 性 能 。 

(8) 根 桥 。 根 桥 是 指 拥 有 最 小 BID 的 交换 机 。 对 于 STP 来 说 ,关键 要 为 网 络 中 所 有 的 
交换 机 推选 出 一 个 根 桥 ,而 网 络 中 的 其 他 决策 (选举 指定 端口 . 非 指 定 端口 、 根 端口 ) 都 依赖 
于 根 桥 。 

(9) 非 根 桥 。 除 了 根 桥 外 的 所 有 交换 机 都 是 非 根 桥 。 非 根 桥 会 与 所 有 的 交换 机 交换 
BPDU ,并 在 所 有 交换 机 上 更 新 STP 拓扑 数据 库 , 以 防止 网 络 环 路 并 对 链 路 失效 提供 保障 
措施 。 

(100 根 端口 。 根 端口 是 指 所 有 非 根 桥 交 换 机 中 ,与 根 桥 直接 相连 的 链 路 所 在 的 端口 。 
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根 端口 都 被 标记 为 转发 端口 。 

(11) 指定 端口 。 指 定 端口 包含 如 下 几 种 情况 : 根 桥 的 所 有 端口 都 是 指定 端口 ; 非 根 桥 
中 所 有 通 往 根 桥 链 路 开销 最 低 的 根 端口 是 指定 端口 ; 如 果 存 在 连接 到 根 桥 的 多 条 链 路 ,和 那 
么 检查 每 条 链 路 的 带宽 ,此 时 最 低 链 路 开销 的 端口 是 指定 端口 ; 如 条 上 行 的 多 台 交 换 机 链 
路 开销 均 相 同 ,那么 就 用 带 有 较 低 通告 的 BID 的 那个 端口 作为 指定 端口 ; 当 多 条 链 路 连接 
到 同一 台 设 备 时 ,就 用 上 行 交换 机 上 连接 的 最 低 端 口号 的 端口 作为 指定 端口 。 指 定 端口 会 
TUER iO y Fe A. 

(12) 非 指定 端口 。 非 指定 端口 是 指 开 销 比 指 定 端口 高 的 端口 。 确 定 根 端口 和 指定 端 
口 后 剩 下 的 端口 就 是 非 指定 端口 。 非 指定 端口 将 被 设置 为 阻塞 状态 ,是 阻塞 端口 ,不 能 进行 
数据 转发 ,但 可 以 接收 BPDU。 

(13) 冲突 域 。 是 一 个 以 太 网 术语 , 指 的 是 这 样 一 种 网 络 情形 : 当前 网 段 的 两 台 计 算 机 
在 同时 通信 时 会 发 生 冲 突 , 导 致 这 两 台 设 备 必须 分 别 重 发 数据 。 能 够 让 两 台 计 算 机 同时 通 
信 发 生 冲 突 的 最 大 范围 构成 的 网 络 边界 就 是 一 个 冲突 域 。 

(14) 广播 域 。 是 指 同一 个 子 网 中 所 有 设备 组 成 的 集合 ,这些 设备 侦 听 该 子 网 中 发 送 的 
所 有 广播 ,也 即 一 个 广播 包 能 够 到 达 的 最 大 范围 构成 的 网 络 边界 就 是 一 个 广播 域 。 


8.2 交换 原理 与 交换 机 


自 先 介绍 交换 基础 ,然后 分 别 介 绍 交 换 原 理 以 及 第 二 层 、 第 三 层 和 第 七 层 交 换 技 术 , 肯 
给 出 交换 机 的 工作 原理 与 交换 功能 。 


8.2.1 交换 基础 


交换 技术 最 先是 随 着 电话 通信 技术 的 发 展 而 发 展 起 来 的 ,贝尔 发 明 电 话机 的 时 候 , 首 次 
实现 人 类 声音 转换 为 电信 号 ,通过 电话 线 实现 远 距 离 传输 ,这 是 最 初 的 交换 技术 ,我 们 对 交 
换 的 理解 也 大 多 从 电话 通信 网 的 程控 交换 机 开始 。 后 来 交换 技术 发 展 到 数据 交换 ,从 广义 
上 讲 ,任何 数据 的 转发 都 可 以 称 为 交换 ,本 章 主要 指 的 是 狭义 上 的 交换 , 仅 包 括 数 据 链 路 层 
的 数据 转发 ,以 太 网 技术 和 交换 机 的 快速 发 展 又 促成 交换 性 能 的 快速 提升 。 

Cisco 讨论 交换 时 ,除非 特别 说 明 ,默认 情况 下 都 是 指 第 二 层 交 换 。 第 二 层 交 换 是 指 在 
数据 链 路 层 的 操作 ,在 局 域 网 (LAN) 上 使 用 设备 的 硬件 地 址 (MAC) 对 网 络 进行 分 段 的 过 
程 。 注 意 是 使 用 MAC 地 址 ,交换 是 对 数据 帧 进行 处 理 。 交 换 机 处 理 数 据 帧 有 三 种 方式 ,后 
面 详 细 讨 论 。 

交换 技术 可 以 用 来 将 大 的 冲突 域 分 隔 为 小 的 冲突 域 。 所 谓 冲 突 域 , 也 指 用 两 个 或 多 个 
设备 对 网 络 进 行 分 段 所 形成 的 区 域 ,这 些 区 域 共 享 同一 带宽 。 用 物理 层 设备 的 集线器 构成 
的 网 络 就 是 这 种 技术 的 典型 例子 ,例如 实验 室 网 络 ,如 果 每 间 实 验 室 都 使 用 集线器 联网 , 那 
么 48 台 终 端 在 同一 个 冲突 域内 ,并 共享 100M 带宽 ,如 果 使 用 交换 机 联网 , 则 每 台 终 端 独 享 
100M 带宽 。 因 为 交换 机 上 的 每 个 端口 都 可 以 分 割 冲突 域 ,都 有 它 自 己 的 冲突 域 ,所 以 将 交 
换 机 和 蔡 代 集 线 需 ,可 以 构造 一 个 性 能 比 集 线 硕 好 得 多 的 以 大 局 域 网 。 

交换 机 实现 第 二 层 交 换 , 网 桥 使 用 软件 技术 来 创建 和 管理 转发 /过 滤 MAC 表 , 而 交换 
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机 使 用 超大 规模 专用 集成 电路 (ASIC) 来 创建 并 维护 其 转发 /过 滤 MAC 表 , 能 够 提供 更 高 
的 性 能 。 


8.2.2 交换 原理 


交换 机 基于 收 到 的 数据 帧 中 帧 头 的 源 MAC 地 址 和 目的 MAC 地 址 来 对 数据 进行 交换 
TLIE. 

交换 机 交换 数据 的 方法 可 以 分 为 如 下 三 种 方法 : 存储 转发 、 直通 转发 和 无 碎片 方法 。 
首先 了 解 一 下 数据 帧 的 结构 ,如 几 8-1 所 示 , 它 是 交换 机 转发 数据 的 基本 单元 ,也 是 主要 处 
理 对 象 ,然后 由 介绍 各 种 转发 方法 的 原理 。 


存储 转发 读 完 
EER JTE 整个 数据 帆 


直通 转发 内 De ZH HI 
GE l| 1 ^r ER 64 字 节 位 


HF | 目标 | dm | 长 度 类 数据 
$11 | MAC6 | MAC6 | 型 2 46 一 1500 
图 8-1 数据 帧 结构 


D 存储 转发 (Store-and-Forward) 

存储 转发 方式 是 先 存 储 后 转发 , 它 把 从 端口 输入 的 数据 帧 先 全 部 接收 并 存储 起 来 ,如 
图 8-1 所 示 ,然后 进行 CRC( 循 环 元 余 码 校 验 ) 检 查 ,把 错误 帧 丢弃 ,最 后 才 取 出 数据 帧 目标 
地 址 进行 过 滤 和 转发 。 存 储 转 发 方式 延迟 大 ,但 是 它 可 以 对 进入 交换 机 的 数据 包 进 行 高 级 
别 的 检测 ,该 方式 可 以 文 持 不 同 速度 的 端口 间 的 转发 。 传 统 的 网 桥 和 早期 的 二 层 交 换 机 都 
使 用 这 种 转发 方式 。 

2) 直通 转发 (CutrThrough) 

当 交 换 机 在 输入 端口 检测 到 一 个 数据 帧 时 ,检查 该 帧 的 帆 头 ,只 要 获取 了 类 的 目标 地 址 
(如 图 8-1 所 示 的 目标 MAC 地 址 ) ,就 开始 转发 帧 。 它 的 优 点 是 开始 转发 前 不 雷 要 谈 取 整 
个 完整 的 帧 , 延 开 非常 小 。 缺 点 是 不 具备 提供 检测 能 力 。 

3) 无 样片 (Eragment-Free) 

这 是 改进 后 的 直通 转发 ,是 一 种 介 于 前 两 者 之 间 的 解决 方法 。 如 图 8-1 所 示 ,无 碎片 方 
法 在 谈 取 数据 帧 的 前 64 个 字 市 后 ,就 开始 转发 该 帆 。 这 种 方式 虽然 也 不 提供 数据 校 验 ,但 
是 能 够 避免 大 多 数 的 帧 错误 。 它 的 数据 处 理 速 度 比 直通 转发 方式 稍 慢 ,但 比 存储 转发 方式 
快 很 多 。 由 于 这 种 方式 在 转发 速度 和 容错 两 者 之 间 采 取 了 折 中 方案 ,所 以 被 广泛 应 用 在 许 
多 厂商 的 交换 设备 上 。 


8.2.3 交换 技术 与 交换 机 


交换 技术 能 将 大 的 冲突 域 分 隅 为 小 的 冲突 域 ,减少 同一 冲突 域 发 生 冲 突 的 概率 。 

参考 OSI 七 层 网 络 模型 ,根据 交换 机 处 理 数 据 基 本 单元 的 不 同 ,将 交换 技术 分 为 第 二 
层 交 换 、 第 三 层 交 换 和 第 七 层 交 换 , 可 以 把 对 应 实现 交换 技术 的 交换 机 分 为 二 层 交 换 机 ,二 
层 交 换 机 和 七 层 交 换 机 。 
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1. 第 二 层 交 换 与 二 层 交 换 机 


第 二 层 交 换 是 指 在 数据 链 路 层 的 操作 ,在 LAN 上 使 用 设备 硬件 地 址 (MAC) 对 网 络 进 
行 分 段 的 过 程 。 它 被 认为 是 基于 使 件 的 桥接 ,使 用 超大 规模 专用 集成 电路 (ASIC) 的 特殊 便 
件 ,ASIC 的 速度 可 高 达 吉 比特 , 且 延 迟 非常 低 。 

第 二 层 交 换 具 有 如 下 优越 性 : 

(1) 第 二 层 交 换 可 以 提供 的 功能 有 : 基于 便 件 的 桥接 、 线 速 转发 能 力 、 低 延迟 、 低 成 本 。 
之 所 以 能 够 这 样 高 效 , 是 因为 它 没有 对 数据 包 进 行 任何 修改 ,设备 只 是 读 取 数据 包 的 帧 封 
疫 , 己 路 巾 选择 的 过 程 相 比 , 交 换 过 程 就 显得 相当 快捷 ,而 且 不 容易 出 错 。 

(2) 如 果 将 第 二 层 的 交换 同时 用 于 连接 工作 组 和 网 络 分 段 ( 即 分 隔 冲 突 域 ) ,那么 ,与 传 
统 的 使 用 路 由 分 隔 网 络 相 比 ,这 一 方案 可 以 创建 更 多 网 络 分 段 。 

(3) 第 二 层 的 交换 还 可 以 为 每 个 用 户 增 加 可 用 的 网 络 带 宽 , 这 也 是 因为 连接 到 交换 机 
的 每 个 连接 (接口 ) 都 有 自己 的 冲突 域 。 

第 二 层 交 换 的 局 限 性 如 下 : 

默认 不 能 分 隅 广播 域 。 广 播 . 组 播 , 以 及 生成 树 协 议 的 慢 收 义 ,降低 了 网 络 性 能 。 因 此 ， 
第 二 层 交 换 机 不 能 完全 取代 路 由 兹 。 

二 层 交 换 机 承载 和 实现 第 二 层 交 换 技 术 , 处 在 OSI 模型 的 数据 链 路 层 ( 即 第 二 层 ), 所 
以 称 为 二 层 交 换 机 。 二 层 交 换 机 是 一 种 流行 的 网 络 组 建设 备 , 代 替 了 网 桥 , 它 和 网 桥 的 工作 
原理 一 致 , 均 可 以 基于 MAC 地 址 表 进 行 转发 、 划 分 冲突 域 , 它 的 每 个 端口 都 是 一 个 冲突 域 ， 
但 不 能 分 割 广播 域 。 都 能 基于 MAC 地 址 学 习 构 造 MAC 地 址 表 , 对 MAC 地 址 实现 过 滤 等 
多 种 功能 。 

二 层 交 换 机 主要 用 在 小 型 局 域 网 中 ,其 数据 广播 的 风险 和 影响 比较 小 。 二 层 交 换 机 的 
快速 交换 功能 、 多 个 接 人 端口 和 低廉 价格 ,为 小 型 网 络 用 户 提供 了 完善 的 解决 方案 。 交 换 式 
局 域 网 技术 使 专用 的 带宽 为 用 户 所 独 享 , 极 大 地 提高 了 局 域 网 传输 的 效率 。 可 以 说 ,在 校园 
网 络 系统 集成 技术 中 ,直接 面向 用 户 的 第 二 层 交 换 技 术 和 二 层 交 换 机 ,应 用 十 分 普 志 , 备 受 
HPF. 


2. 第 三 层 交 换 与 三 层 交 换 机 


然而 ,在 大 规模 局 域 网 中 ,广播 风暴 对 网 络 整体 性 能 的 影响 十 分 严重 。 为 了 减 小 广播 风 
暴 的 危害 ,必须 将 大 型 局 域 网 按 功能 或 地 域 等 因素 划分 成 多 个 逻辑 上 的 小 型 局 域 网 ,这 样 必 
然 导致 不 同 子 网 间 大 量 用 户 的 相互 访问 ,而 单纯 采用 第 二 层 交 换 技 术 ,无 法 实现 各 子 网 间 的 
互 访问 题 。 

为 了 解决 各 子 网 间 的 互 访问 题 ,自然 会 想到 路 由 技术 。 除 了 路 由 之 外 ,我 们 把 能 够 处 理 
网 络 中 第 三 层 数据 包 转 发 的 交换 技术 称 为 第 三 层 交 换 技 术 。 网 络 设备 提供 商 利 用 第 三 层 交 
换 技术 开发 了 三 层 交 换 机 ,也 可 以 叫 作 路 由 交换 机 ,可 以 看 成 是 逻辑 路 由 器 与 物理 交换 机 的 
完美 融合 。 

从 硬件 上 看 ,在 第 三 层 交换 机 中 ,与 路 由 器 有 关 的 第 三 层 路 由 硬件 模块 ,也 直接 炙 加 在 
高 速 背 板 /总 线 (速率 可 高 达 几 十 Gb/s) 上 。 这 种 方式 使 得 路 由 模块 可 以 与 交换 模块 同时 直 
接 访问 背 板 总 线 ,大 幅 提高 了 数据 交换 速度 ,从 而 突破 了 传统 的 外 接 路 由 器 接口 速率 的 限 
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制 。 由 于 路 由 被 高 度 集 成 到 交换 机 中 ,使 得 高 速 路 由 选择 特性 更 容易 实现 。 高 速率 接口 和 
背 板 带宽 是 三 层 交 换 机 的 两 个 重要 性 能 参数 。 

三 层 交 换 机 承载 和 实现 第 三 层 交 换 技 术 , 其 实质 是 “三 层 路 由 转发 十 二 层 交 换 技 术 ”, 采 
用 “一 次 路 由 十 多 次 交换 ”的 方法 实现 快速 数据 交换 。Cisco 公司 开发 了 一 种 Cisco 特快 交 
换 (Cisco Express Forwarding,CEF) 技 术 。 我 们 知道 ,路 由 各 人 处 理 每 个 数据 包 都 需要 经 过 
拆 包 . 查 表 .重新 封装 、 转 发 四 个 步骤 ,需要 消耗 路 由 顺 资 源 并 给 数据 包 转 发 带 来 时 延 。 与 路 
由 器 需要 逐个 处 理 数据 包 不 同 ,三 层 交 换 机 处 理 相 同 源 端的 大 数据 量 传输 时 ,只 需要 对 接收 
到 的 第 一 个 数据 包 进 行 拆 包 ,` 查 表 .重新 封 闻 、 转 发 四 个 步骤 ,其 中 的 路 由 模块 将 会 产生 一 个 
下 一 跳 IP 地 址 与 MAC 地 址 的 映射 表 , 并 将 该 表 存 储 起 来 。 当 同一 信息 源 的 第 二 个 数据 流 
再 次 进入 交换 环境 时 ,交换 机 将 根据 第 一 次 产生 并 保存 的 MAC 地 址 映射 表 , 直接 采用 交换 
技术 , 百 接 谈 取 数据 帧 的 MAC 地 址 ,将 下 一 跳 的 MAC 地 址 直接 重新 封 衣 后 即 可 快速 转 
发 ,不 再 经 过 第 三 层 由 模块 处 理 , 从 而 消除 了 路 巾 选择 时 造成 的 网 络 延 开 ,提高 了 整体 数据 
转发 效率 ,解决 了 网 间 传 输 信 息 时 路 由 产生 的 速率 瓶颈 。 

三 层 交 换 机 要 实现 三 层 数据 交换 必须 使 用 第 三 层 IP 地 址 来 完成 ,三 层 及 以 上 交换 机 主 
要 文 持 两 种 不 同类 型 的 第 三 层 接 口 。 

1) 路 由 接口 

路 由 接口 是 一 种 物理 接口 , 它 类 似 于 在 传统 路 由 希 上 配置 了 第 三 层 IP 地 址 的 接口 。 路 
由 接口 类 似 于 普通 的 路 申 需 接口 AP I] Ab TET UE AS BEER EHI RAD TEX RET Bell. Pi He 
口 用 于 点 对 点 链 路 «Ei EH Be O ES BL7UE y Hl goze Ye Be WAN 路 由 天 和 安全 设备 。 在 三 层 交 换 
机 中 ,进入 某 接口 模式 ,关闭 交换 功能 , 即 可 变 成 普通 路 由 接口 。 例 如 将 fa0/1 配置 为 路 由 
接口 ,设置 IP 地 址 ,命令 如 下 : 


Switch(config) # ip routing // 打 开路 由 功能 
Switch(config) # int fa0/1 
Switch(config- if) £ no switchport // 关 团 交 换 功 能 , 设 为 路 由 接口 


Switch(config-if) it ip address 192.168.20.1 255.255.255.0 // 设 置 IP 地 址 


2) 交换 虚拟 接口 

ZE Mi E Wt O (Switch Virtual Interface,SVT1) 是 一 种 第 二 层 接口 , 它 是 为 在 二 层 及 以 上 
交换 机 上 完成 VLAN 间 路 由 选择 与 数据 转发 而 配置 的 接口 。SVI 是 一 种 与 VLAN ID fH 
关联 的 虚拟 VLAN 接口 ,其 目的 在 于 启用 该 VLAN 上 的 路 由 选择 能 力 。 例 如 为 VLAN 10 
设置 SVI 接口 ,并 配置 VLAN 10 的 管理 IP 地址 ,命令 如 下 : 


Switch(config) # ip routing // 打 开路 由 功能 
Switch(config) # int vlan 10 
Switch(config-if)it ip address 192.168.10.1 255.255.255.0  //iX'E VLAN 10 [i] IP 地 址 


E3 VLAN 10 的 SVI 的 IP 地 址 作为 VLAN 10 所 辖 主机 的 默认 网 关 ,VLAN 10 的 所 
有 主机 均 通 过 该 SVI 地 址 访问 其 他 网 络 , 实 现 三 层 数据 交换 。 

三 层 交 换 机 是 为 IP 数据 包 高 速 转发 而 设计 的 ,具有 接口 类 型 简单 .数量 多 数据 包 处 理 
能 力 强 等 优势 , 且 有 丰富 的 管理 功能 ,价格 又 比 相同 速率 的 路 巾 需 低 得 多 , 非 稼 适用 于 大 学 


第 8 草 ”交换 技术 与 交换 机 配置 方法 


校园 网 .园区 网 络 每 大 规模 局 域 网 。 在 校园 网 中 ,等 校 的 汇聚 层 和 接 入 层 , 即 各 等 院 、 和 名 行政 
单位 层面 的 核心 区 换 机 和 汇聚 层 交 换 机 均 采 用 三 层 交 换 机 。 


3. 第 七 层 交 换 与 七 层 交 换 机 


随 着 互联 网 技术 ,移动 互联 网 技术 的 快速 发 展 , 如 何 充 分 利用 高 带宽 资源 ,对 互联 网 上 
的 应 用 内 容 和 服务 进行 安全 高效 管 理 ,日 益 成 为 网 络 服务 提供 商 和 网 络 设备 供 应 商 关 注 
的 焦点 。 人 们 需要 能 够 安全 、 高 效 地 对 应 用 层 进行 有 效 管理 的 先进 网 络 技 术 , 从 而 第 七 层 交 
换 技 术 应 运 而 生 。 

第 七 层 交 换 技 术 通 过 逐 层 解析 每 一 个 数据 分 组 的 每 层 封 装 , 识 别 出 应 用 层 的 各 种 信息 ， 
还 能 识别 数据 内 容 , 并 根据 内 容 做 出 负载 均衡 .智能 人 殴 源 调配 等 决定 ,这 些 功能 都 超越 第 三 
层 、 第 四 层 功 能 。 拥 有 第 四 层 功 能 的 网 络 设备 无 法 识别 流 经 接口 的 不 同类 型 的 传输 流 , 只 能 
做 相同 处 理 , 这 样 并 不 能 满足 实际 服务 需求 。 例 如 学 校 需要 对 各 学 院 和 行政 单位 有 关 财 务 
访问 请 求 设置 更 高 优先 级 ,这 就 需要 能 够 对 应 用 层 的 数据 内 容 和 服务 请 求 进行 识别 和 优先 
处 理 。 

可 以 说 ,能 够 处 理 网 络 应 用 层 数据 转发 的 交换 技术 就 可 以 称 为 第 七 层 交 换 技 术 , 七 层 交 
换 机 承载 和 实现 第 七 层 交 换 技 术 , 其 主要 目的 是 在 超 带 宽 、 高 速 网 络 服务 环境 下 ,降低 网 络 
管理 员 的 管理 开销 ,为 网 络 资源 提供 智能 化 分 配 与 调度 ,为 不 同 用 户 提 供 高 质量 、 差 别 服务 ， 
提升 网 络 整体 智能 化 程度 和 服务 水 平 。 


4. 网 桥 \、 交 换 机 和 路 由 器 


第 4 一 7 章 学 习 过 路 由 器 ,本 章 介 绍 了 交换 机 ,这 里 简单 介绍 下 网 桥 。 

D 网 桥 

在 开发 出 交换 机 之 前 ,早期 以 太 网 使 用 网 桥 (Bridge) 来 实现 数据 交换 。 网 桥 是 早期 的 
两 端口 二 层 网 络 设备 ,将 网 络 的 两 个 网 段 在 数据 链 路 层 连接 起 来 ,每 个 端口 与 一 个 网 段 相 


连 。 网 桥 的 这 两 个 端口 分 别 有 一 pas 并 不 共享 一 条 育 板 总 线 , 因 此 可 隔 
离 冲 突 域 。 网 桥 最 简单 的 网 桥 只 有 两 个 端口 ,复杂 些 的 网 桥 可 以 有 更 多 的 疹 口 ,最 多 可 达 
4 一 8 个 端口 。 


网 桥 是 一 种 对 帆 进 行 转发 的 技术 ,能 够 检查 数据 帧 的 帆 尖 信息, 竺 习 MAC 地 址 ,根据 
MAC 分 区 块 ,并 维护 MAC 地 址 表 ,还 能 转发 种 二 层 广 播 , 可 隅 离 碰 撞 , 还 能 基于 第 二 层 地 
址 做 出 数据 转发 决定 。 这 些 功 能 和 交换 机 类 似 ,交换 机 就 十 在 网 桥 基础 上 发 展 而 来 。 

网 桥 基 于 软件 来 实现 数据 交换 ,交换 效率 相对 比较 低 。 此 外 ,在 运行 生成 树 协 议 时 ,网 
桥 只 能 维护 一 个 生成 树 实 例 , 其 使 用 受到 限制 。 随 者 局 域 网 技术 的 发 展 ,网 桥 逐 步 被 交换 机 
取代 。 

2) 网 桥 与 交换 机 之 异同 

网 桥 是 基于 软件 实现 数据 交换 ,而 交换 机 是 基于 ASIC 硬件 艺 片 来 创建 并 维护 其 过 波 
表 ; 每 个 网 桥 只 有 一 个 生成 树 实 例 ,而 交换 机 可 以 有 多 个 生成 树 实 例 ; 交换 机 的 端口 数量 
比 大 多 数 的 网 桥 部 多 ,普通 的 二 层 交 换 机 茶 种 程度 上 可 以 看 成 是 多 问 口 的 网 桥 , 但 比 网 桥 性 
能 好 。 

网 桥 和 交换 机 都 转发 第 二 层 广 播 。 通 过 检查 所 接收 的 每 个 数据 帧 的 源 地 址 ,网 桥 和 交 
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换 机 都 可 以 学 到 其 MAC 地 址 , 郡 基 于 第 二 层 地 址 做 出 转发 的 决定 。 

3) SC BREL 53 Ef FH i on Dn] 

Ac TR DL EA ph ie AB BEXT CDS ETT Fe Ae SEGA T DU P «S68 BL E XE TR — Ez s Ah K or yit 
行 转发 ; iH SR LAEE SB Za OS UR LEITER P. 

交换 机 和 网 桥 在 工作 时 要 比 路 由 带 快 许多 ,因为 这 两 个 设备 不 会 花费 时 间 去 查看 网 络 
层 头 部 的 信息 。 区 换 机 和 网 桥 只 是 在 决定 转发 人 播 或 是 丢 径 数据 帧 之 前 查看 帆 的 使 件 地 
址 即 可 。 

总 结 起 来 ,交换 机 负责 在 局 域 网 内 的 数据 交换 ,强调 数据 转发 速度 及 网 络 性 能 ,更 多 用 
于 本 地 访问 连接 ; nudi pee d.e ja vri 8) d P [8] AY 2C 5C 356 . 08: 18] E 8 B) DJ BE e BE 3 4x E 
BAHTaRihEBL. DEED. ERHAN RH Sete BIS ,并 不 会 相互 取代 。 现 在 许多 应 用 层 
网 络 设备 , 集 路 由 与 交换 功能 于 一 体 , 并 具备 高 带宽 、 高 性 能 ,和 常 部 署 于 校园 网 .园区 网 主 节点 。 


8.2.4 交换 机 三 种 交换 功能 


交换 机 的 核心 功能 主要 有 三 种 : 地 址 学 习 、 转 发 /过 滤 帧 决策 和 环 路 避免 。 

1) 地 址 学 习 (address learning?) 

地 址 学 习 主 要 是 指 交 换 机 可 以 自动 学 习 端 口 所 连 主机 的 主机 地 址 。 如 图 8-2 所 示 , 交 
换 机 的 4 个 端口 分 别 连 接 4 人 台 主 机 , 当 交 换 机 开机 后 ,系统 处 于 初始 状态 ,交换 机 的 MAC 
地 址 表 是 空 的 。 


MAC address table 


EF, 
333.3333.33333 


4444.4444.4444 


图 8-2 交换 机 初始 状态 


这 时 ,有 一 个 任务 ,主机 A 要 癌 主 机 C 发 送 数 据 帆 ,交换 机 将 主机 A B7 MAC 地 址 和 其 
对 应 的 接口 fa0/1 放 入 MAC 地 址 表 ; 然后 ,交换 机 将 该 帧 问 除 了 接收 接口 fa0/1 之 外 的 其 
他 所 有 接口 flooding 转发 (不 清楚 目标 主机 的 单 点 传送 帧 就 采用 flooding 方式 转发 ), 如 
图 8-3 所 示 。 

接 下 来 ,又 有 一 个 新 任务 ,主机 D 回 主 机 也 发 送 数据 帧 ,交换 机 将 主机 D 的 MAC 地址 
和 其 对 应 的 接口 fa0/4 放 入 MAC 地 址 表 ; 然后 ,交换 机 将 该 帧 向 除了 接收 接口 fa0/4 之 外 
的 其 他 所 有 接口 flooding 转发 。 以 此 类 推 , 经 过 这 个 学 习 阶 段 , 交 换 机 将 所 有 接口 的 MAC 
地 址 都 学 习 完 整 了 ,构成 完整 的 MAC 地 址 表 , 如 图 8-4 所 示 。 

2) 转发 /过 滤 帆 决 案 (forward/filter frame decision) 

当 某 个 时 刻 , 主 机 A 要 表 回 主机 C 发 送 数 据 帆 ,这 时 ,交换 机 先 查 看 日 已 的 MAC H ht 
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MAC address table 
fa0/1:1111.1111.1111 


3333.3333.3333 4444.4444.4444 


图 8-3 ”交换 机 接收 到 第 一 个 数据 帧 示意 图 


MAC address table 


fa0/1: 1111.1111.1111.1111 
fa0/4: 4444.4444.4444.4444 
fag/2; 2227) 2222. 2222222 
faQ/3: 3333.3333.3335.3335 


333.3333.33333 4444.4444.4444 


图 8-4 交换 机 完整 MAC 地 址 表 


表 ,由 于 前 面 已 经 学 习 完 所 有 接口 及 目的 主机 MAC 了 , 均 记 录 在 交换 机 的 MAC 地 址 表 
中 。 因 此 ,该 单 点 传送 帧 不 被 flooding 转发 ,直接 从 接口 fa0/3 转发 给 主机 C, 这 一 方式 被 
称 为 帧 过 滤 ,是 交换 机 的 第 二 个 主要 功能 ,如 图 8-5 所 示 。 


MAC address table 


fa0/1:1111.1111.1111.1111 
fa0/4: 4444.4444.4444.4444 


fa0/2: 2222.2222.2222.2222 
fa0/3: 3333.3333.3333.3333 


fa0/1 peun fa0/2 


— 一 一 一 一 大 六 计量 六 c= 
fa0/3 fa0/4 | Lo] 


3333.3333.3333 4444.4444.4444 
图 8-5 交换 机 做 出 转发 决策 
3) MESS (loop avoidance) 
交换 机 之 间 的 元 余 链 路 是 一 件 好 事 ,是 保障 整个 网 络 可 靠 性 的 有 效 方法 ,万 一 某 条 链 路 
出 现 故障 ,元 余 链 路 可 以 用 来 传输 数据 ,防止 整个 网 络 失效 。 虽 然 元 余 链 路 有 用 ,但 是 它 同 
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时 会 带 来 非常 严重 的 问题 ,数据 帧 可 以 同时 被 广播 到 所 有 完 余 链 路 上 ,导致 网 络 环 路 。 交 换 
机 第 三 种 功能 是 能 够 启用 生成 树 协议 (STP) 来 构建 逻辑 无 环 结构 ,避免 网 络 环 路 。 


8.3” 宛 余 环 路 问题 及 解决 方法 


8.3.1 元 余 环 路 问题 


在 由 许多 交换 机 组 成 的 以 太 网 络 环境 中 ,通常 部 会 设置 一 些 见 余 链 路 ,以 提高 网 络 的 可 
徘 性 ,健壮 性 和 稳定 性 。 宛 余 链 路 也 称 备份 链 路 、 备 份 连接 等 。 当 主 链 路 出 故障 时 , 宛 余 链 
路 自动 启用 ,从 而 提高 网 络 的 整体 可 靠 性 ,避免 网 络 因 单 点 失效 而 陷入 瘫痪 ， 

使 用 元 余 备 份 能 够 为 网 络 带 来 许多 好 处 ,然而 ,元 余 链 路 使 得 网 络 存 在 环 路 。 网 络 中 的 
环 路 问题 是 元 余 链 路 所 面临 的 十 分 严重 的 问题 , 它 在 网 络 中 直接 导致 以 下 问题 。 


1. 重复 帧 问题 


如 图 8-6 所 示 ,网 络 管理 员 设 置 了 一 个 元 余 链 路 的 局 域 网 络 ,服务 大 X 可 以 通过 网 段 1 
和 网 段 2 分 别 到 达 路 由 硕 Y, 网 段 1 和 网 段 2 之 间 分 别 有 交 换 机 A 和 交换 机 B 连接 ,构成 
元 余 链 路 。 当 系统 初始 化 时 ,路 由 器 Y 的 MAC 地 址 还 没有 被 交换 机 A 和 了 学习 到 。 这 
时 ,服务 天 X AREA A — Ae E CDS DL 2S Pi H SE Y, 由 于 不 知道 目的 地 的 单 播 帆 要 采用 
flooding $£ A . xx IE Pr ss Y SUR AE ir X ASI OR HUS der; 同时 ,交换 机 A 也 从 fao/1 
收 到 服务 硕 X ARA dE Aqu. 2J Sd AS 9 X BJ MAC HUE3E SS AH E MAC 地 址 表 , 然 
后 将 该 帧 从 fa0/2 Xm EI flooding 出 去 ; 交换 机 B 通过 fa0/12 交口 接收 到 后 ,同样 将 该 帆 从 
fa0/11 端口 flooding 出 去 ,这 时 路 由 天 Y 又 一 次 收 到 这 个 单 播 数 据 帆 。 对 于 路 由 颖 Y 而 
言 , 前 后 两 次 收 到 的 是 相同 的 数据 帆 , 造 成 重复 帧 问题 。 


图 8-6 重复 帧 问题 


2. MAC 地 址 表 不 稳定 问题 


除了 重复 帧 问题 之 外 ,元 余 链 路 还 会 给 交换 机 带 来 MAC 地 址 表 不 稳定 的 问题 。 还 是 
以 图 8-6 的 元 余 链 路 网 络 环境 为 例 。 系 统 初始 化 时 ,服务 顺 X 想 发 送 一 个 单 播 数 据 帧 给 路 
Hs Y. 

此 时 ,路 由 融 立 的 MAC 地址 还 没有 被 变换 机 A 和 BB 等 习 到 ,交换 机 A 从 端口 fa0/1 
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学 习 到 服务 器 X 的 MAC 地 址 并 写 人 自己 的 MAC 地 址 表 , 交 换 机 B 分 别 学 习 到 服务 器 X 
的 MAC 地 址 对 应 的 端口 fa0/11 并 写 人 自己 的 MAC 地 址 表 。 

这 时 ,到 路 由 需 YY 的 数据 帧 在 交换 机 A 和 交换 机 B 上 会 进行 flooding 处 理 , 如 图 8-7 
所 示 。 然 后 ,交换 机 A 再 次 学 习 到 服务 天 X HJ MAC 地 址 变 为 端口 fa0/2 ,交换 机 也 再 次 学 
习 到 服务 器 X 的 MAC 地 址 变 为 端口 fa0/12 ,而 这 次 学 习 的 MAC 地 址 是 错误 地 址 ,导致 交 
换 机 MAC 地 址 表 中 前 后 两 次 从 不 同 的 端口 学 习 到 相同 的 服务 器 X 的 MAC 地 址 ,造成 
MAC 地 址 表 不 稳定 。 


网 段 1 


| fa0/2 fa0/12 | 
网 段 2 


图 8-7 MAC 地 址 表 不 稳定 问题 


3. 厂 播 风 骏 问题 


除了 重复 帧 和 MAC 地 址 表 不 稳定 问题 之 外 ,元 余 链 路 还 会 给 交换 机 带 来 更 为 严重 的 
广播 风暴 问题 。 如 图 8-8 所 示 , 当 服务 需 X 加 网 络 中 发 送 一 个 广播 消息 ,交换 机 A 从 fa0/1 
端口 收 到 该 广播 帆 后 会 从 fa0/2 mO flooding 出 去 ; 这 时 ,交换 机 也 从 fao/12 tm O uA l| ZI 
广播 帧 后 会 从 fa0/11 端口 flooding 出 去 ; 这 时 ,交换 机 A 继续 收 到 该 广播 帧 ,继续 
flooding ,如 此 循环 ,产生 广播 风暴 问题 ,直到 最 后 拖 垮 整 个 网 络 。 

图 8-8 展示 的 是 单个 回环 的 广播 风暴 情形 ,在 实际 网 络 中 ,往往 会 存在 多 个 回环 的 情 
况 , 更 容易 产生 广播 风暴 ,而 且 多 重 回 环 的 广播 风暴 问题 给 网 络 带 来 的 影响 更 为 严重 。 


网 段 2 


图 8-8 广播 风 骏 问题 


由 元 余 链 路 构成 的 物理 环 路 所 产生 的 上 述 三 种 问题 都 将 对 网 络 造成 不 利 影响 ,解决 物 
理 环 路 需要 用 到 生成 树 协议 。 
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8.3.2 生成 树 协 议 


路 由 协议 可 以 防止 在 网 络 层 形 成 网 络 环 路 。 人 然而 ,对 于 因 交 换 机 存在 元 余 物 理 链 路 而 
形成 的 数据 链 路 层 环 路 ,路 由 协议 无 能 为 力 。 解 决 办 法 就 是 要 创建 逻辑 无 环 路 拓扑 结构 , 同 
时 保留 物理 环 路 的 存在 。 逻 辑 无 环 结构 即 为 树 ,创建 逻辑 无 环 结构 的 协议 就 是 生成 树 协 议 
(Spanning Tree Algorithm. STP) , 它 能 够 在 第 二 层 交 换 式 网 络 中 解决 物理 环 路 问题 。 

STP 协议 的 主要 任务 是 防止 第 二 层 网 络 ( 网 桥 或 交换 机 ) 出 现 网 络 环 路 。 它 首先 使 用 
生成 树 算法 STA 创建 一 个 折 扑 数据 库 ,然后 找 出 并 关闭 元 余 链 路 ,构建 一 棵 没有 环 路 的 转 
发 树 。STP 协议 利用 桥 协议 数据 单元 (Bridge Protocol Data Unit, BPDU) 和 其 他 交换 机 进 
行 通 信 , 从 而 确定 哪个 交换 机 该 阻 断 哪个 接口 ,运行 STP 后 ,数据 帧 就 只 能 在 STP 选 定 的 
最 优 链 路 上 进行 转发 。 下 面 介 绍 STP 的 工作 原理 。 


8.3.3 SIP LIFRE 


为 了 在 物理 环 路 网 络 中 构建 一 个 逻辑 无 环 路 的 拓扑 结构 ,网 络 中 的 交换 机 要 执行 以 下 
三 个 步骤 : YEAR BE XE BUR m ETUR UIS XE i H o 


1. 选举 根 桥 


通常 情况 下 ,网 络 中 具有 最 小 桥 IDCBID) 的 交换 机 就 是 根 桥 , 根 桥 上 的 所 有 端口 都 是 指 
定 端口 ,可 以 转发 数据 帧 。 

那么 ,BID 怎么 比较 大 小 呢 ? 

BID 王 桥 优先 级 十 桥 MAC 地 址 。 

默认 情况 下 , 桥 优 先 级 均 为 32768 ,可 以 在 全 局 配置 模式 下 进行 修改 ,命令 如 下 : 


Switch(config) # spanning-tree vlan vlanid priority [4096 的 倍数 ] 


注意 ; 优先 级 值 越 小 ,优先 级 越 高 ; 0 的 优先 级 最 高 。 

要 比较 BID 大 小 , 先 看 优先 级 ,优先 级 值 越 小 越 优先 ; 如 果 优 先 级 相同 , 则 比较 MAC 
地 址 , 越 小 越 优先 。 

另外 一 种 情况 ,可 以 直接 通过 配置 命令 指定 某 台 交换 机 为 根 桥 ,命令 如 下 


Switch(config) 井 spanning-tree vlan 1 root primary /7/ 强制 指定 根 桥 


2. 选取 根 端 口 


选举 了 根 桥 后 ,网 络 中 所 有 其 他 的 交换 机 都 成 为 非 根 桥 。 每 台 非 根 桥 均 要 选举 一 条 到 
根 桥 的 根 路 径 ,该 端口 就 是 根 端口 。 那 么 ,如 何 选择 根 路 径 呢 ? 考虑 如 下 情况 : 

所 有 到 达 根 桥 的 路 径 昧 加 后 ,具有 最 低 的 路 径 cost 的 那 条 是 根 路 径 , 根 路 径 上 的 端口 
JAR im I. 

E E AR AT E TAHE HJ ig O 2 TR Pr O o, Ar E Am REGE HI ERA ERIE cost 累加 和 
来 决定 到 达 根 桥 的 最 佳 路 径 (cost 是 累加 的 ,带宽 大 的 链 路 cost 低 ) 。 
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所 有 根 端口 为 指定 端口 ,参与 数据 转发 。 
3. 选取 指定 端口 


在 网 络 中 ,指定 端口 是 能 够 正常 转发 数据 帧 的 端口 ,按照 如 下 的 优先 顺序 选择 指定 端口 : 

CD 最 小 的 桥 ID: 根 桥 的 所 有 端口 都 是 指定 端口 。 

(2) 最 小 的 根 路 径 代 价 : 非 根 桥 的 根 端口 都 是 指定 端口 。 

(3) 最 小 发 送 者 桥 ID: 除了 根 端口 外 ,具有 最 小 数据 发 送 者 BID 的 非 根 桥 的 端口 是 指 
定 端口 。 

(4) 最 小 发 送 者 端口 D: 除了 前 面 所 选 端口 之 外 的 端口 ,再 比较 端口 也, 小 的 是 指定 端口 。 

上 述 方法 选取 完 指 定 端口 之 后 ,还 剩 下 一 个 端口 ,这 个 端口 就 是 非 指定 端口 , 即 阻塞 端 
口 ,不 能 转发 数据 帧 。 但 仍 可 以 接收 BPDU 帧 ,以 便于 网 络 拓扑 状态 改变 时 ,端口 随时 发 生 
转变 ,如 图 8-9 所 示 。 

m 交换 机 Z 
根 桥 A é Mac 0c0011110000 
HERI 762832768 


指定 端口 (F) 


端口 fa0/1 


cost=19 cost=19 


100baset 


交换 机 X 端口 人 /1 | 根 端口 (F) A LIfao/11 | 根 端口 (F) 


MAC 0c0011111111 — — Pory 
c 一 一 一 A D» -——— MAC 0c0022222222 
BEIC 7658 32768 é TERT TERI E BH BIOL 765832768 
WüLlfa0/2 | 指定 端口 (F) H8 LIfa0/12 | 非 指定 端 口 (阻塞 ) 


100baset 


cost-19 


图 8-9 STP 工作 原理 


在 图 8-9 中 ,该 网 络 有 3 台 交 换 机 ,首先 选择 根 桥 ,根据 根 桥 选取 原则 ,BID 最 小 的 交换 
机 是 根 桥 ,BID 与 优先 级 和 MAC 地 址 有 关 , 因 3 台 交 换 机 的 优先 级 都 是 32768 ,交换 机 Z 的 
MAC 地 址 最 小 ,Z 是 根 桥 ,其 他 2 台 交 换 机 X 和 YY 是 非 根 桥 。 

接着 非 根 桥 选 取 根 端口 : 交换 机 X 的 端口 fa0/1 和 根 桥 直 连 ,具有 最 小 链 路 cost=19, 
所 以 fa0/1 是 根 端 口 ; 同 理 , 交 换 机 Y 的 fa0/11 是 根 端口 。 

最 后 选取 指定 端口 : 根 桥 交 换 机 Z 的 所 有 端口 都 是 指定 端口 , 非 根 桥 的 根 端口 都 是 指 
EmA., ÆA 8-9 网 络 中 ,还 剩 下 2 个 端口 ,分 别 为 交换 机 X 的 fao/2 和 交换 机 Y 的 
fa0/12, 因 交换 机 X 的 BID 比 交 换 机 Y 的 BID 要 小 ,所 以 交换 机 X 的 fa0/2 是 指定 端口 。 
上 述 指 定 端口 均 可 以 转发 数据 帧 。 交 换 机 了 的 fa0/12 为 非 指 定 端口 ,将 被 阻塞 ,无 法 转发 
数据 ,但 可 以 接收 BPDU. 


8.3.4 STP 端口 状态 
运行 STP 协议 的 交换 机 端口 ,从 加 电 启 动 后 ,分 别 要 经 过 阻塞 、 侦 听 、 学 习 和 转发 四 个 
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状态 ,还 可 以 设置 禁用 状态 ,其 属性 信息 如 表 8-1 所 示 。 
表 8-1 STP 端口 的 不 同 状态 


状 态 属 性 
禁用 不 能 接收 BPDU 信息 ,不 能 转发 数据 
阻塞 可 接收 BPDU 信息 ,不 能 转发 数据 ,默认 时 间 为 20s 
侦 听 可 监听 和 接收 BPDU 信息 ,不 能 转发 ,默认 时 间 为 15s 
学 习 可 接收 和 发 送 BPDU 信息 ,建立 MAC 地 址 表 , 不 能 转发 数据 ,默认 时 间 为 15s 
转发 可 与 其 他 交换 机 交换 BPDU 信息 ,可 转发 数据 


(1) 葵 用 (Disabled) 。 此 时 端口 不 能 接收 BPDU 信息 ,更 不 能 进行 数据 信息 的 转发 , 实 
质 上 是 不 参与 工作 的 。 

(2) 阻塞 (Blocking)。 被 阻塞 的 端口 不 能 对 数据 帧 进行 转发 ,但 它 可 以 监听 和 接收 
BPDU。 设 置 阻 塞 状 态 是 为 了 阻止 使 用 有 环 路 的 路 径 。 当 交换 机 通电 时 ,所 有 端口 在 默认 
状态 下 都 会 处 于 阻塞 状态 。 

(3) WIF (Listening). Wm O WI BPDU 信息 ,但 它 不 具有 BPDU 信息 的 转发 与 MAC 
地 址 的 学 习 能 力 。 每 当 网 络 拓扑 结构 发 生 改 变 时 ,端口 便 会 立即 进入 侦 听 状态 。 处 于 侦 听 
状态 的 端口 在 没有 形成 MAC 地 址 表 时 就 准备 转发 数据 帧 , 它 监 听 网 络 上 的 BPDU 信息 以 
便 随 时 准备 进入 学 习 状 态 。 

(4) 学 习 (Learning)。 端 口 可 以 主动 地 接收 和 发 送 BPDU 数据 信息 ,负责 建立 MAC 
地 址 表 并 使 之 与 相应 的 端口 进行 一 对 一 映射 ,但 同样 不 能 转发 数据 信息 。 只 有 当 侦 听 到 网 
络 拓 扑 结构 发 生 改 变 时 ,端口 才 会 进入 这 种 状态 。 

(5) 转发 (Forwarding)。 端 口 发 送 并 接收 所 有 桥接 端口 上 的 数据 帧 ,与 其 他 交换 机 交 
换 BPDU 信息 以 获得 最 佳 的 路 径 长 度 值 ,完成 网 络 拓扑 结构 的 调整 。 如 果 在 学 习 状 态 结束 
时 ,端口 仍 是 指定 端口 或 根 端口 ,那么 它 就 会 进入 转发 状态 。 

当 交 换 机 完成 初始 化 后 ,为 避免 形成 环 路 ,STP 会 使 一 些 端口 (备份 链 路 的 端口 ) 直 接 
进入 阻塞 状态 。 当 网 络 中 主 链 路 发 生 故 障 时 ,网 络 的 拓扑 结构 即 会 发 生变 化 ,处 于 阻塞 状态 
的 端口 就 会 通过 BPDU 侦 听 了 解 到 这 一 变化 ,端口 的 状态 就 会 立刻 从 阻塞 状态 转变 到 学 习 
状态 ,完成 MAC 地 址 表 的 建立 后 转变 成 转发 状态 ,并 在 转变 过 程 中 经 历 侦 听 与 学 习 两 个 状 
D ,最 终 转 为 正 稍 的 工作 模式 。 一 个 端口 从 蔡 用 状态 到 转发 状态 通 和 并 需要 经 历 约 50s, 用 于 
保证 STP 有 足够 的 时 间 来 了 解 整个 网 络 的 拓扑 结构 。 


8.4 交换 机 配置 方法 


8.4.1 实验 内 容 
1. 实验 拓扑 


本 实验 拓扑 图 如 图 8-10 所 示 , 计算 机 学 院 共 有 3 台 交 换 机 ,分 别 为 计算 机 系 
Cisco3560-1 .软件 工程 系 Cisco3560-2 和 数字 媒体 系 Cisco2960 ,它们 分 别 通过 交叉 线 两 两 


相互 连接 。 


2. 实验 需求 
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C15co3560-] 
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Cisco2960 
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图 8-10 STP 基础 实验 拓扑 图 


(OD 观察 计算 机 等 院 各 系 交 换 机 运行 STP 的 情况 。 
(2) 修改 交换 机 端口 优先 级 ,观察 STP 端口 角色 变化 。 


8.4.2 实验 操作 


交换 机 在 默认 情 训 下 ,开启 生成 树 协 议 , 可 以 使 用 show spanning-tree detail 命令 查看 
当前 根 桥 的 位 置 和 端口 的 状态 。 
首先 ,查看 交换 机 S3560-1 的 STP 状态 ,结果 如 下 : 


53560-1 # show spanning-tree detail 


VLANOO01 is executing the ieee compatible Spanning Tree protocol 


Bridge Identifier has priority 32768, sysid 1, address 0025.84d3.3f00 / /BID 
Configured hello time 2, max age 20, forward delay 15 
We are the root of the spanning tree / TR 9r 


Topology change flag not set, detected flag not set 
Number of topology changes 2 last change occurred 00:19:42 ago 


from FastEthernetO0/1 


Times: hold 1, topology change 35, notification 2 


hello 2, max age 20, forward delay 15 


Timers: hello 0, topology change 0, notification 0, aging 300 


/ / 48 XE im O 


Port 3 (FastEthernet0/1) of VLANOO001 is designated forwarding 
Port path cost 19, Port priority 128, Port Identifier 128.3. 
Designated root has priority 32769, address 0025.84d3.3f00 
Designated bridge has priority 32769, address 0025.84d3.3f00 
Designated port id is 128.3, designated path cost 0 


Timers: message age 0, forward delay 0, hold 0 


Number of transitions to forwarding state: 1 


Link type is point-to-point by default 
BPDU: sent 657, received 2 


/ / T& XE m O 


Port 12 (FastEthernet0/10) of VLANOO01 is designated forwarding 
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Port path cost 19, Port priority 128, Port Identifier 128.12. 
Designated root has priority 32769, address 0025.84d3.3f00 
Designated bridge has priority 32769, address 0025.84d3.3f00 
Designated port id is 128.12, designated path cost 0 

Timers: message age 0, forward delay 0, hold 0 

Number of transitions to forwarding state: 1 

Link type is point-to-point by default 

BPDU: sent 606, received 1 


接着 ,查看 交换 机 S3560-2 的 STP 状态 ,结果 如 下 : 


53560-2 # show spanning-tree detail 
VLANOO01 is executing the ieee compatible Spanning Tree protocol 
Bridge Identifier has priority 32768, sysid 1, address 0025. 84d3. 4a80 / / BID 
Configured hello time 2, max age 20, forward delay 15 
Current root has priority 32769, address 0025.84d3.3f00 
Root port is 3 (FastEthernet0/1), cost of root path is 19 / / F8 yg O 
Topology change flag not set, detected flag not set 
Number of topology changes 1 last change occurred 00:18:40 ago 
from FastEthernet0/20 
Times: hold 1, topology change 35, notification 2 
hello 2, max age 20, forward delay 15 
Timers: hello 0, topology change 0, notification 0, aging 300 
// 根 端口 


Port 3 (FastEthernet0/1) of VLANOO01 is root forwarding 


Port path cost 19, Port priority 128, Port Identifier 128.3. 
Designated root has priority 32769, address 0025.84d3.3f00 
Designated bridge has priority 32769, address 0025.84d3.3f00 
Designated port id is 128.3, designated path cost 0 
Timers: message age 2, forward delay 0, hold 0 
Number of transitions to forwarding state: 1 
Link type is point-to-point by default 
BPDU: sent 2, received 626 


/ [18 5E žm O 

Port 22 (FastEthernet0/20) of VLANO001 is designated forwarding 
Port path cost 19, Port priority 128, Port Identifier 128.22. 
Designated root has priority 32769, address 0025.84d3.3f00 
Designated bridge has priority 32769, address 0025.84d3.4a80 
Designated port id is 128.22, designated path cost 19 
Timers: message age 0, forward delay 0, hold 0 
Number of transitions to forwarding state: 1 
Link type is point-to-point by default 
BPDU: sent 576, received 1 
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最 后 ,再 查看 交换 机 S2960 的 STP 状态 ,结果 如 下 : 


52960 # show spanning-tree detail 
VLANOO01 is executing the ieee compatible Spanning Tree protocol 
Bridge Identifier has priority 32768, sysid 1, address 0026. 0a84.4980 / / BID 
Configured hello time 2, max age 20, forward delay 15 
Current root has priority 32769, address 0025.84d3.3f00 
Root port is 10 (FastEthernet0/10), cost of root path is 19 // 根 端口 
Topology change flag not set, detected flag not set 
Number of topology changes 0 last change occurred 00:17:34 ago 
Times: hold 1, topology change 35, notification 2 
hello 2, max age 20, forward delay 15 
Timers: hello 0, topology change 0, notification 0, aging 300 
/ [8 gg O 
Port 10 (FastEthernet0/10) of VLANOO01 is root forwarding 
Port path cost 19, Port priority 128, Port Identifier 128.10. 
Designated root has priority 32769, address 0025.84d3.3f00 
Designated bridge has priority 32769, address 0025.84d3.3f00 


Designated port id is 128.12, designated path cost 0 
Timers: message age 2, forward delay 0, hold 0 
Number of transitions to forwarding state: 1 
Link type is point-to-point by default 
BEDU: sent 1, received 526 
// 非 指定 端口 : 阻塞 状态 
Port 20 (FastEthernet0/20) of VLANO001 is alternate blocking 
Port path cost 19, Port priority 128, Port Identifier 128.20. 
Designated root has priority 32769, address 0025.84d3.3f00 
Designated bridge has priority 32769, address 0025.84d3.4a80 
Designated port id is 128.22, designated path cost 19 
Timers: message age 2, forward delay 0, hold 0 
Number of transitions to forwarding state: 0 
Link type is point-to-point by default 
BPDU: sent 1, received 528 Designated port id is 128.12, designated path cost 0 


通过 上 述 对 各 交换 机 STP 状态 的 观察 ,可 以 总 结 出 各 交换 机 的 优先 级 .MAC 地 址 . 端 
口 状态 ,以 及 根 桥 选 举 情 况 , 如 表 8-2 Bron. 


表 8-2 交换 机 STP 状态 


交换 机 和 名称 优先 级 MAC 地 址 端口 情况 (端口 号 cost) 选举 结果 


S3560-1 32769 0025. 84d3. 3f00 ”指定 端口 : f0/1(3,19),f0/10(12,19) i pr 
S3560-2 32769 0025.84d3.4a80 3E: f0/1(3、19) ,指定 端口 : £0/20(22,19) 非 根 桥 


交换 机 的 默认 优先 级 是 32768 ,注意 这 里 被 显示 为 32769, 即 与 vlan IDCvlan 1) 相 加 的 
结果 。 根 桥 、 非 根 桥 的 指定 端口 选举 ,比较 桥 ID, 在 优先 级 相同 时 ,比较 MAC 地 址 ,MAC 
地 址 越 小 优先 级 越 高 。 根 桥 的 端口 者 为 指定 问 口 。 根 端口 通过 比较 办 加 的 cost, 最 小 的 为 
根 端口 。 可 看 到 S2960 交换 机 上 的 {0/20 指示 灯 为 橙色 ,为 非 指 定 端口 ,处 于 被 阻塞 
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(blocking) 的 状态 


有 两 种 方式 可 以 将 非 根 交换 机 修改 为 根 桥 : 

(D 修改 VLAN 优先 级 ,将 优先 级 的 值 设 为 比 32768 更 小 , 值 越 小 ,优先 级 越 高 。 
(2) 直接 设置 为 根 桥 , 可 以 通过 命令 强制 指定 某 台 交换 机 为 根 桥 。 

下 面 以 S2960 为 例 , 通 过 两 种 配置 方式 将 其 设 为 根 桥 。 


// 方 式 一 :修改 默认 VLAN 1 的 优先 级 
S2960(config- if) € spanning-tree vlan 1 priority ? 
< 0—61440 > bridge priority in increments of 4096 
// 优 先 级 的 数值 以 4096 递增 ,0 的 优先 级 最 高 
S2960(config) # spanning-tree vlan 1 priority 4096 
// 方 式 二 : 直接 指定 为 根 桥 
S2960(config) # spanning-tree vlan 1 root primary 


再 通过 show spanning-tree 命令 查看 当前 根 桥 的 位 置 和 交换 机 端口 的 状态 变化 情况 


EmO H blocking 状态 转变 为 forwarding 状态 ) 。 


下 面 以 修改 优先 级 的 方式 将 S2960 修改 为 根 桥 ,如 上 述 方式 一 所 示 , 将 优先 级 设 为 


4096 ,然后 查看 各 交换 机 的 STP 状态 输出 结果 。 


首先 ,查看 交换 机 S3560-1 的 STP 状态 变化 情况 ,结果 如 下 : 


53560-1 € show spanning- tree 


VLANOO01 
Spanning tree enabled protocol ieee 
Root ID Priority 4097 // 根 桥 发 生 改 变 了 
Address 0026.0a84.4980 
Cost 19 
Port: 12 (FastEthernet0/10) 
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec 
Bridge ID Priority 32769 (priority 32768 sys-id-ext 1)  // 自 己 的 BID 没有 变化 
Address 0025.84d3. 3f00 
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec 
Aging Time 300 sec 
Interface Role Sts Cost Prio. Nbr Type 
Fa0/1 Desg FWD 19 128.3 P2P // 由 根 桥 的 指定 端口 变 为 韭 根 桥 的 指定 
端口 
Fa0/10 Root FWD 19 128.12  P2P // 由 根 桥 的 指定 端口 变 为 非 根 桥 的 根 端 口 


接 下 来 ,查看 交换 机 S3560-2 的 STP 状态 变化 情况 ,结果 如 下 : 


53560-2 € show spanning- tree 


VLANOOO01 
Spanning tree enabled protocol ieee 
Root ID Priority 4097 // 根 桥 发 后 改变 了 


Address 0026. 0a84. 4980 
Cost 19 
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Port 22 (FastEthernet0/20) 
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec 

Bridge ID Priority 32169 (priority 32768 sys-id-ext 1) // 目 己 的 BID RAER 
Address 0025.84d3. 4a80 


Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec 
Aging Time 300 sec 


Interface Role Sts Cost Prio. Nbr Type 


Fa0/1 Altn BLK 19 128.3 P2P // 由 非 根 桥 的 根 端口 转变 为 非 根 桥 的 阻塞 端口 
Fa0/20 Root FWD 19 128.22 P2P // 由 非 根 桥 的 指定 端口 变 为 非 根 桥 的 根 端 口 


最 后 ,查看 交换 机 2960 的 STP 状态 变化 情况 ,结果 如 下 : 
S2960 # show spanning-tree 


VLANOO01 
Spanning tree enabled protocol ieee 


Root ID Priority 4097 // 根 桥 发 生变 化 
Address 0026.0a84. 4980 
This bridge is the root // 本 交换 机 为 根 桥 
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec 
Bridge ID Priority 4097 (priority 4096 sys-id-ext 1) / / BID 优先 级 发 生变 化 
Address 0026. 0a84. 4980 
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec 
Aging Time 15 
Interface Role Sts Cost Prio.Nbr Type 
Fa0/10 Desg FWD 19 128.10  P2P //H4E TR Br da XE tm O 27 AART IT] dí 4E 9m H 
Fa0/20 Desg FWD 19 128.20 P2P  // 由 非 根 桥 阻 塞 端 口 变 为 根 桥 的 指定 端口 


分 析 和 实验 结 果 可 知 , 通 过 改变 S2960 的 优先 级 ,将 其 设 为 根 桥 后 ,原来 的 Fa0/20 由 


BLK 变 为 FWD, 整 个 网 络 的 指定 端口 . 非 指 定 端口 . 根 端口 等 全 部 重新 选举 。 


8.4.3 HEIS 


通过 上 述 实验 ,可 以 总 结 出 如 下 的 排 错 思路 : 

CI) 端口 双 工 模式 是 否 匹 配 。 

(2) TRUE TR im O F XE m O Ae 13 TE dH AE HJ 1L E 2: ff DH. 2€ — £6 8 22 BH. 2€ FJ ig HT. 
(3) 运行 STP 时 链 路 中 是 否 还 存在 环 路 。 

(D TE Hd s 

debug spanning-tree events; JH HH STP 调试 。 

show spanning-tree interface f0/1 detail: A F fF m O KJ STP 详细 信息 。 

show spanning-tree root: 生成 树 根 桥 信 息 。 

show spanning-tree detail: 查看 生成 树 详细 信息 。 

show interface; 查看 端口 双 工 模式 是 否 匹 配 。 
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8.5 ”实战 演练 


1. 实战 拓扑 


本 实战 拓扑 图 如 图 8-10 所 示 , 计算 机 学 院 共 有 3 侣 交换 机 ,分 别 为 计算 机 系 
Cisco3560-1 .软件 工程 系 Cisco3560-2 和 数字 媒体 系 Cisco2960 ,它们 均 通 过 交叉 线 两 两 相 
互 连 接 。 


2. 实验 需求 

(1) 配置 交换 机 的 主机 名 。 

switch(config) # hostname XXX 

(2) 配置 VLAN 1 端口 地 址 和 默认 网 关 。 

53560 # conf t 

S3560(config)it interface vlan 1 // 进 入 交换 机 管理 VLAN 接口 模式 ,为 交换 机 配置 管理 IP Heb, 
// 虚 拟 接口 , 永 不 掉 线 ,主要 用 于 远程 登录 管理 交换 机 


S3560(config-if) 1t ip add 192.168.1.1 255.255.255.0 
S3560(config- if) # ip default-gateway 192.168.1.254 


$3560 # show version / /查看 I0S 版 本 

53560 # show ip int b / [E i BILE m D) 3 E E 

53560 # show int f£0/1 // 查 看 具体 接口 的 状态 信息 

S3560 # show run // 查 看 当前 运行 的 配置 信息 ,包含 端口 的 状态 及 配置 


(4) 配置 2960 交换 机 的 端口 属性 。 


S2960 (config) # interface fastethernet0/1 
S2960(config-if) # speed 100 // 设 置 该 端口 的 速率 为 100Mb/s 
52960 (config-if) # duplex full // 设 置 该 端口 为 全 双 工 
52960 (config-if) 井 description up to webserver 
//i& E iX fW ih)Jup to webserver, LEX Web flt 5 s 


(5) 查看 flash X fft, 

S3560 # show flash 

(60 查看 MAC 3B iE ESI MAC HWER. 
S3560 # show mac - address -table // 查 看 MAC 


S3560(config)# mac-address- table static[HH. HH. HH] vlan [VlanID] interface f0/9 
/ [US Wl MAC Hb ht, HH. HH. HH X Hl] 9g O 7J. £0/9 
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(7) 启用 生成 树 协 议 ,再 使 用 show spanning-tree detail 命令 查看 当前 根 桥 的 位 置 和 端 
口 的 状态 。 
(8) 要 求 控制 某 个 非 根 桥 交 换 机 改变 为 根 桥 ,使 用 相关 命令 实现 (改变 优先 级 ) 。 


// 指 定 接口 优先 级 ,以 16 递增 ,0 的 优先 级 最 高 (基于 接口 ) 

S3560(config-if)it spanning-tree vlan < VLAN ID» port-priority < 0— 240» 
// 指 定 交 换 机 优先 级 ,以 4096 递增 ,0 的 优先 级 最 高 (基于 VLAN) 

S3560(config) # spanning-tree vlan < VLAN ID» priority < 0 一 61440 > 

// 指 定 根 交换 机 (基于 VLAN ) 

S3560(config) # spanning-tree vlan ID root primary 


(9) 再 次 使 用 show spanning-tree detail 命令 查看 当前 根 桥 的 位 置 和 端口 的 状态 变化 
情况 (由 blocking 状态 转变 为 forwarding 状态 ) 。 


1. 交换 机 和 路 由 器 的 外 观 分 别 有 什 么 特征 ? 给 你 一 台 设 备 , 你 能 很 快 辨 别 出 是 路 由 
fii ,还 是 交换 机 吗 ? 
2. 交换 技术 和 路 由 技术 的 本 质 区 别 是 什么 ”在 校园 网 内 , 哪 种 技术 应 用 更 广 沁 ?为 


3. 三 层 交 换 和 二 技 交 换 相 比 , 本 质 区 别 是 什么 ? 为 什么 交换 技术 能 锌 称 为 局 域 网 


4. 三 层 以 上 交换机 具备 路 由 功能 ,那么 ,交换 机 能 够 完全 蔡 代 路 由 带 吗 ? 为 什么 ? 

o. 中 继 表 、 集 线 天 、 网 桥 、 交 换 机 、 路 由 天 是 比较 典型 的 联网 设备 ,如 条 震 要 对 它们 进行 
gne 你 能 从 哪些 方面 者 于 比较 呢 ? 列表 展示 。 

.你 知道 当前 最 先进 的 交换 技术 是 什么 吗 ? 如 有 条 不 知道 ,号 上 网 找 些 质料 和 大 家 一 起 
Per. 
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在 校园 网 \ 园 区 网 等 实际 网 络 部 署 运 营 中 ,常常 需要 根据 应 用 需求 临时 组 建 局 域 网 ,在 
不 影响 物理 网 络 部 署 的 前 提 下 ,如 何 快速 .高效 组 网 成 为 衡量 现代 局 域 网 的 一 个 重要 指标 。 
这 种 适应 应 用 需求 的 灵活 组 网 技术 称 为 虚拟 局 域 网 (VLAN) 技 术 , 可 以 说 ,VLAN 是 现代 
局 域 网 的 灵魂 。 本 章 首 先 介 绍 为 什么 需要 VLAN,VLAN 的 概念 及 其 工作 原理 与 配置 方 
法 ,然后 介绍 VLAN 的 传输 链 路 Trunk 及 Trunk 的 配置 方法 , 接 下 来 介绍 在 网 络 中 用 于 管 
Æ VLAN 的 VTP 协议 及 配置 方法 ,最 后 给 出 实战 演练 项 目 。 


9.1 AtA E VLAN, Trunk, VTP 
VLAN 2&3 [X Ja) 3s Pod B5] R 2. . BEA J da, Pod ps A VLAN ER, AR XT GE 
现代 局 域 网 中 为 何 需要 VLAN 技术 以 及 相关 概念 和 术语 。 


9.1.1 VLAN,Trunk,VTP 之 问 


在 第 8 童 中 ,学 习 了 交换 技术 和 交换 机 的 基本 配置 ,交换 机 的 每 个 端口 都 可 以 分 割 冲突 
域 ,路 由 需 的 每 个 接口 可 以 分 割 广播 域 。 因 而 ,多 台 交 换 机 可 以 组 成 一 个 大 的 子 网 (广播 
域 ) , 且 每 个 端口 可 以 将 这 个 大 的 子 网 分 割 成 多 个 物理 网 段 。 当 多 台 交 换 机 连接 ,构成 元 余 
链 路 导致 物理 环 路 时 ,还 可 以 采用 STP 协议 构建 逻辑 无 环 结构 从 而 解决 物理 环 路 问题 。 看 
似 由 交换 机 组 成 的 网 络 就 可 以 正常 工作 了 ,为 何 还 要 VLAN 呢 ? 首先 带 厦 如 下 三 个 问题 开 
RER: 

问题 一 : 现代 局 域 网 中 ,为 何 VLAN 地 位 如 此 之 高 ? 什么 是 VLAN? VLAN 的 划分 
方法 .成 员 模 式 有 了 哪些? 

问题 二 : 因 每 台 交 换 机 可 以 划分 出 多 个 VLAN, 网 络 中 不 同 交 换 机 的 多 个 VLAN 之 间 
如 何 有 效 通信 呢 ? 

问题 三 : 因 每 台 交 换 机 可 以 划分 出 多 个 VLAN, 网 络 中 不 同 交 换 机 划分 的 VLAN 可 能 
不 同 , 如 何 对 VLAN 进行 有 效 管 理 从 而 提高 网 络 整体 性 能 呢 ? 

我 们 青 回顾 一 下 交换 机 ,交换 机 的 每 个 端口 都 可 以 分 割 冲突 域 ,但 不 能 分 割 广播 域 。 那 
么 ,在 交换 机 组 成 的 网 络 中 ,为 什么 要 分 割 广播 域 呢 ?因为 会 大 幅 降 低 网 络 性 能 ,甚至 带 来 
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严重 的 安全 问题 导致 整个 网 络 次 痪 。 

试想 ,在 一 个 全 部 由 交换 机 和 终端 主机 组 成 的 交换 网 络 环境 中 ,如 图 9-1 所 示 ,所 有 5 
台 区 换 机 和 大 量 的 终端 主机 都 处 于 同一 个 广播 域 中 。 这 时 ,主机 A 想 要 发 送 数据 给 主机 
B, 系 统 初始 化 情况 下 ,所 有 交换 机 的 MAC 地 址 表 都 是 空 的 ,根据 8.2.4 节 交 换 机 处 理 数 据 
帧 的 原理 ,交换 机 A 收 到 主机 A 发 送 过 来 的 数据 帧 之 后 ,把 主机 A 的 MAC 地 址 和 端口 与 
A MAC 地 址 表 , 然 后 将 该 数据 帧 回 除 接 收 端 口外 的 所 有 其 他 端口 flooding 出 去 ,交换 机 
BC、D 接 收 到 该 数据 帆 后 做 相同 处 理 ,继续 将 该 数据 师 回 除了 该 病 口 外 的 所 有 其 他 交口 
flooding 出 去 ,交换 机 E 收 到 后 继续 flooding 出 去 。 通 过 上 面 的 分 析 , 原 本 主机 A 只 想 将 数 
据 帧 发 送 给 主机 B, 而 实际 上 该 数据 帧 被 传送 到 网 络 中 的 每 一 台 主 机 。 这 样 , 广 播 数据 帧 不 
仅 消 耗 网 络 的 有 效 珊 宽 , 而 且 消 耗 交 换 机 的 运算 和 存储 质 源 。 

在 局 域 网 中 ,广播 帧 是 比较 频繁 的 ,如 有 果 不 分 割 广播 域 的 话 , 每 次 都 会 将 广播 数据 帆 传 
遍 整 个 网 络 , 到 达 所 有 主机 。 如 果 是 某 台 主机 感染 了 病毒 ,例如 蠕虫 病毒 ,那么 该 病毒 会 志 
速 蔓 延 整个 网 络 ,导致 所 有 主机 感染 ,网 络 准 痪 ,给 用 户 带 来 巨大 损失 。 

因此 ,设计 局 域 网 时 ,必须 根据 实际 情况 ,合理 分 割 广播 域 。 


图 9-1 葡 换 网 络 环境 下 flooding Zi Wi 


那么 ,如何 合理 有 效 分 割 广播 域 呢 ? 有 两 种 解决 方法 ,路 由 表 或 虚拟 局 域 网 VLAN) 技 术 。 

路 由 各 的 每 个 物理 接口 都 是 一 个 广播 域 ,所 以 路 由 颖 可 以 用 来 分 割 交 换 网 络 环境 下 的 
广播 域 。 但 是 ,通常 情况 下 ,路 由 絮 的 接口 数量 都 很 少 ,一 般 只 有 2 个 以 太 网 接口 ,1 一 4 个 
广域网 接口 ,以 太 网 接口 用 来 连接 交换 机 ,能 够 分 割 多 少 个 广播 域 完全 取决 于 以 太 网 接口 数 
量 。 如 来 想 根 据 实际 需求 灵活 分 割 广 播 域 , 则 用 路 由 幽 号 很 难 实现 。 

志 路 由 带 相 比 ,二 层 交 换 机 或 三 层 交 换 机 亲 口 数量 多 ,一 般 邦 有 24 个 、48 个 甚至 更 多 。 
在 交换 机 上 分 割 广播 域 的 扩 术 , 驶 是 VLAN。 可 以 根据 应 用 需求 将 交换 机 上 的 茶 些 病 口 划 
DARA VLAN 中 ,构成 一 个 广播 域 , 每 台 交 换 机 祁 可 以 划分 多 个 VLAN ,组 网 方式 也 更 
加 目 由 ,从 而 灵活 地 设计 多 个 广播 域 。 

相 比 之 下 ,利用 在 交换 机 上 划分 VLAN 的 方法 能 够 方便 、 灵 活 地 对 网 络 分 割 广播 域 , 将 
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广播 帧 限制 在 某 一 个 广播 域内 ,有 利于 整个 网 络 的 稳定 ,提高 网 络 传输 效率 。 

我 们 册 看 一 个 例子 。 

在 校园 网 中 ,每 个 学 院 都 拥有 目 己 的 大 楼 .月 己 的 网 络 , 且 不 同学 院 之 间 都 有 一 定 的 距 
离 ,各 学 院 网 络 都 属于 校园 网 重要 的 组 成 部 分 。 每 个 学 院 都 有 教务 部 、. 科 人 研 部 .学科 建设 .办 
公 室 等 部 门 ,学 校 行 政大 楼 对 应 有 教务 处 、 科 人 研 处 .学 科 办 、 校 办 等 单位 。 学 校 为 了 管理 方 
便 , 教 务 人 处 需要 和 各 学 院 教务 部 共享 学 校 教 室 信 息 和 教学 资源 ,科研 处 需要 和 各 学 院 科研 部 
共享 科研 项 目 信 息 等 ,这 就 要 求学 校 行 政大 楼 的 教务 处 和 各 学 院 教 务 部 在 同一 个 广播 域内 ， 
科研 处 和 各 学 院 科 人 研 部 在 同一 个 广播 域内 ,还 有 其 他 部 门 也 有 类 似 需 求 。 如 果 采 用 物理 组 
网 势必 带 来 很 多 麻烦 ,要 多 增加 许多 的 网 络 设备 、 光 纤 和 线 绕 。 

那么 针对 上 述 需求 ,有 没有 更 加 灵活 的 组 网 方式 呢 ? 

答案 是 肯定 的 , 那 就 是 采用 VLAN 技术 。 将 学 校 行政 大 楼 的 教务 处 对 应 交换 机 端口 和 
分 布 在 校园 内 各 学 院 教 务 部 对 应 交换 机 端口 划分 在 同一 个 VLAN, 将 科研 处 的 端口 和 各 学 
院 科 研 部 的 端口 划分 在 同一 个 VLAN 就 可 以 了 ,这 样 只 需要 在 交换 机 上 配置 少许 命令 即 可 
实现 灵活 组 网 。 

VLAN 技术 允许 网 络 管理 员 将 一 个 物理 的 LAN 逻辑 地 划分 成 不 同 的 广播 域 ( 即 
VLAN) ,每 一 个 VLAN 都 包含 一 组 有 着 相同 需求 的 计算 机 或 工作 站 ,因为 它 是 逻辑 而 不 是 
物理 划分 ,所 以 同一 个 VLAN 内 的 各 个 工作 站 无 须 被 放置 在 同一 个 物理 空间 里 , 即 这 些 工 
作 站 不 一 定 属于 同一 个 物理 LAN 网 段 。 一 个 VLAN 内 部 的 广播 和 单 播 流量 都 不 会 转发 
到 其 他 VLAN 中 ,从 而 有 助 于 控制 流量 ,减少 设备 投资 .简化 网 络 管理 .提高 网 络 的 安全 性 。 

综 上 所 述 , 不 管 是 合适 的 广播 域 分 割 ,还 是 灵活 组 网 方面 的 需求 ,在 局 域 网 中 都 需 理 
VLAN 技术 。 所 以 说 ,能 否 有 效 支 持 VLAN 技术 是 衡量 现代 局 域 网 络 的 重要 指标 。 
VLAN 是 现代 局 域 网 的 灵魂 。 

在 由 多 人 台 交换 机 组 成 的 局 域 网 环境 中 ,既然 每 台 交 换 机 上 都 可 以 划分 多 个 VLAN AE 
么 ,交换 机 与 交换 机 之 间 如 何 进行 有 效 的 VLAN 数据 传输 呢 ? 如 图 9-1 所 示 , 假 设 每 台 交 
换 机 上 都 划分 5 个 不 同 的 VLAN, 相 互 之 间 有 部 分 VLAN 8 E. "n oz d pL A M B 都 有 
VLAN10 ,交换 机 A 和 C 都 有 VLAN20 等 ,而 交换 机 之 间 都 只 有 一 条 链 路 连接 ,要 想 这 条 
链 路 能 够 同时 传输 多 个 VLAN 数据 ,需要 满足 什么 特征 呢 ? 答案 是 ,这 条 链 路 必须 是 
Trunk 链 路 。Trunk 通过 特定 的 数据 帧 封 衣 方式 能 够 识别 不 同 的 VLAN 数据 帧 ,让 所 有 不 
同 的 VLAN 都 能 够 通过 Trunk 链 路 传输 。 

在 上 述 多 交换 机 网 络 环境 中 ,每 台 交 换 机 上 都 可 以 划分 多 个 不 同 的 VLAN, 当 交换 机 
数量 较 多 时 ,要 管理 和 维护 这 些 VLAN 将 会 给 网 络 管理 员 上 来 沉重 负担 。 那 么 ,如 何 有 效 
管理 网 络 中 的 VLAN 呢 ? 有 一 种 VLAN 管理 协议 , 叫 作 VLAN Trunk Protocol(VTP) 。 

上 述 通 过 两 个 实例 阐述 了 在 交换 机 组 成 的 局 域 网 环境 中 ,为 何 需 要 VLAN, Trunk 与 
VTP, 本 章 详 细 介 绍 局 域 网 环境 中 的 VLAN、Trunk 和 和 VTP。 局 域 网 的 规划 设计 与 建设 
都 离 不 开 它 们 ,是 学 习 的 重点 。 


9.1.2 VLAN 术语 


本 章 的 术语 主要 包括 如 下 3 个 : 
(1) VLAN. VLANc(CVirtual Local Area Network) 即 虚拟 局 域 网 ,是 一 种 通过 将 局 域 
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网 内 的 设备 逻辑 而 不 是 物理 划分 成 一 个 个 网 段 从 而 实现 虚拟 工作 组 的 新 技术 。 通 过 
VLAN ,用 户 能 方便 地 在 网 络 中 移动 和 快捷 地 组 建 宽 带 网 络 ,而 无 须 改 变 任 何 硬件 和 通信 线 
路 。 这 样 ,网 络 管理 员 就 能 从 逻辑 上 对 用 户 和 网 络 资源 进行 分 配 , 而 无 顷 考虑 物理 连接 方 
式 。VLAN 充分 体现 了 现代 网 络 技术 的 重要 特征 : 高 速 、 灵活、 管理 简便 和 扩展 容易 。 是 否 
具有 VLAN 功能 是 衡量 现代 局 域 网 交换 机 的 一 项 重要 指标 ,而 网 络 虚拟 化 则 是 未 来 网 络 发 
展 的 潮流 。 

(2)Trunk。Trunk 是 两 台 交 换 机 之 间 文 持 传 递 多 个 VLAN 信息 的 物理 和 逻辑 的 链 
路 ,能 够 有 效 保 留 交换 机 端口 ,从 而 同一 个 VLAN 可 以 跨越 多 台 交 换 机 。Trunk 链 路 能 够 
携 市 多 个 VLAN 的 数据 ,利用 特定 的 封 闻 来 识别 不 同 的 VLAN, 有 了 Trunk, 所 有 VLAN 
只 需要 一 条 连接 。Trunk 将 在 一 个 物理 链 路 上 绑 定 多 个 虚 链 路 ,从 而 在 两 台 交 换 机 之 间 人 多 
许 在 单一 物理 链 路 上 传输 多 个 VLAN 的 信息 。 

(3)VTP。VTP 是 一 种 消息 协议 ,能够 在 一 个 公共 的 局 域 网 管理 域 中 创建 ,删除 ,修改 、 
维持 VLAN 配置 的 一 致 性 。 


9.2 VLAN 原理 与 配置 方法 


VLAN 是 局 域 网 交换 技术 的 灵 瑰 ,没有 VLAN 就 无 法 实现 现代 高 速 局 域 网 。 

在 校园 网 或 者 园区 网 络 规划 与 设计 中 ,VLAN 主要 应 用 在 局 域 网 内 部 。 为 了 提高 网 络 
的 整体 性 能 和 管理 水 平 ,在 核心 层 、 汇 聚 层 、 接 入 层 的 交换 机 中 ,网 络 管理 员 根 据 实 际 应 用 和 
功能 需求 ,把 同一 局 域 网 内 不 同 物理 位 置 的 计算 机 工作 站 或 主机 逻辑 地 划分 成 不 同 的 广播 
域 , 即 不 同 的 VLAN, 同 一 VLAN 的 不 同位 置 的 主机 有 着 相同 的 需求 ,如 学 校 教 务 处 和 各 
党 院 教务 部 都 有 与 教学 相关 的 资源 管理 和 信息 共享 的 需求 ,与 相同 物理 位 置 上 形成 的 LAN 
有 着 相同 的 属性 。 每 台 交 换 机 均 可 配置 和 管理 多 个 VLAN. 

VLAN 工作 在 数据 链 路 层 ,是 在 数据 链 路 层 上 建立 虚拟 .逻辑 的 三 层 局 域 网 或 者 IP 子 
网 。VLAN 是 交换 技术 的 一 个 核心 特征 ,能 否 文 持 VLAN 配置 是 衡量 交换 机 性 能 的 一 个 
重要 指标 。 现 在 市 场 上 主流 交换 机 均 文 持 VLAN 技术 。 

mA Ea F, VLAN 中 的 终端 设备 只 能 与 相同 VLAN 中 的 终端 设备 进行 直接 通信 。 
不 同 交 换 机 上 的 相同 VLANCVLAN ID 相同 ) 的 终端 设备 通过 合适 的 连接 和 配置 后 可 以 进 
行 通信 。 然 而 ,同一 台 交 换 机 上 处 于 不 同 VLANCVLAN ID 不同) 的 终端 设备 和 不 同 交 换 
机 上 处 于 不 同 VLAN(VLAN ID 不 同 ) 的 终端 设备 却 无 法 直接 通信 。 因 为 不 同 VLAN 属 
于 不 同 的 逻辑 子 网 不同 的 广播 域 , 在 这 种 情况 下 ,如 果 需 要 进行 通信 ,涉及 路 子 网 的 数据 转 
发 或 路 由 , 则 需 借 助 其 他 路 由 转发 设备 ,如 路 申 需 或 三 层 以 上 交换 机 等 。 

现代 高 速 交 换 网 络 中 ,创建 和 管理 VLAN 有 以 下 几 方 面 优 点 : 

(1) 简化 网 络 管理 。 网 络 管理 员 只 要 适当 地 将 某 些 端口 分 配给 某 些 VLAN ,就 可 以 方 
便 地 添加 、 移 除 和 更 换 接 人 设备 。 

(2) 改善 网 络 安 全 。 将 部 分 安全 要 求 高 的 设备 加 入 独立 的 VLAN, 逻 辑 隅 离 其 他 设备 
对 该 类 设备 的 访问 ,改善 网 络 安全 。 同 时 ,VLAN 能 限制 个 别 用 户 的 访问 ,控制 广播 域 的 大 
小 和 位 置 , 甚 至 能 锁定 某 台 设备 的 MAC 地 址 ,因此 VLAN 能 确保 网 络 的 安全 性 。 

(3) 控制 广播 范围 。 同 一 VLAN 中 的 所 有 设备 属于 同一 广播 域 ,这 些 设 备 接受 其 他 设 
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备 发 送 的 所 有 广播 。 默 认 情 况 下 ,广播 包 不 能 跨越 VLAN 进行 传播 ,不 会 影响 其 他 VLAN 
和 其 他 VLAN 的 广播 域 。 


9.2.1 VLAN 实现 方法 


采用 VLAN 技术 ,能 够 将 一 个 物理 局 域 网 逻辑 地 划分 成 不 同 的 VLAN。 能 够 实现 这 
种 VLAN 划分 的 方法 主要 有 以 下 几 种 途径 。 


1. 基于 端口 划分 VLAN 


这 种 划分 VLAN 的 方法 是 一 种 物理 层 划 分 方法 。 根 据 以 太 网 交换 机 的 闯 口 来 划分 , 例 
如 将 二 层 交 换 机 Cisco 2960 的 fa0/1~fa0/4 端口 划分 为 VLAN 10, 将 fa0/5—fa0/17 端口 
划分 为 YLAN 20 ,将 fa0/18~fa0/24 Wi O X 2r 2J VLAN 30。 当 然 , 这 些 属于 同一 VLAN 
的 并 口 可 以 不 连续 ,是 否 需 要 配置 连续 或 不 连续 ,根据 实际 网 络 情况 ,由 网 络 演 理 员 决定 。 
如 果 有 多 台 交 换 机 的 话 , 例 如 ,可 以 指定 交换 机 A 的 fa0/1-— fa0/6 交口 和 交换 机 也 的 
fa0/1-—fa0/4 端口 为 同一 个 VYLAN, 即 同一 VLAN 可 以 跨越 数 台 以 太 网 交换 机 。 

基于 交换 机 端口 划分 VLAN 是 目前 定义 VLAN 的 最 常用 方法 ,具有 静态 成 员 模 式 ， 
IEEE 802. 1q 协议 规定 的 就 是 如 何 根 据 交 换 机 的 端口 来 划分 VLAN, 这 种 划分 方法 的 优点 
是 定义 VLAN 成 员 时 非常 简单 ,只 要 将 所 有 的 端口 都 指定 到 各 个 VLAN ID 中 就 可 以 了 ，。 
正 因为 具有 静态 成 员 模 式 , 它 的 局 限 性 在 于 如 果 VLAN 10 的 用 户 离开 了 原来 的 端口 ,到 了 
一 台新 的 交换 机 的 某 个 端口 ,那么 新 端口 的 VLAN 信息 必须 重新 定义 。 


2. 基于 MAC 地 址 划分 VLAN 


这 种 划分 VLAN 的 方法 是 一 种 数据 链 路 层 划 分 方法 。 根 据 每 个 主机 的 MAC 地 址 来 
划分 , 即 对 每 个 拥有 MAC 地 址 的 主机 都 配置 它 属 于 哪个 VLAN。 这 种 划分 VLAN 方法 的 
最 大 优点 是 , 当 用 户 的 物理 位 置 移动 时 , 即 从 一 个 交换 机 换 到 其 他 的 交换 机 时 ,VLAN 不 用 
重新 配置 。 所 以 ,可 以 认为 这 种 根据 MAC 地 址 的 划分 方法 是 基于 用 户 的 VLAN。 这 种 方 
法 的 缺点 是 ,初始 化 时 ,所 有 的 用 户 都 必须 进行 VLAN 配置 ,将 用 户主 机 的 MAC 地 址 写 入 
交换 机 ,如 果 有 几 百 个 甚至 上 千 个 用 户 的 话 , 配 置 是 非常 烦琐 的 。 而 且 这 种 划分 的 方法 也 寻 
致 交换 机 执行 效率 的 降低 ,因为 在 每 一 台 交 换 机 的 端口 都 可 能 存在 很 多 个 VLAN 组 的 成 
员 , 这 样 就 无 法 限制 广播 包 了 。 男 外 ,对 于 使 用 笔记 本 电脑 的 用 户 来 说 ,他 们 的 网 卡 MAC 
地 址 可 能 会 更 换 ,这样 ,VLAN 就 必须 重新 配置 。 


3. 基于 IP 地 址 的 VLAN 


这 种 划分 VLAN 的 方法 是 一 种 网 络 层 划分 方法 。 根 据 每 台 主 机 的 网 络 层 IP 地 址 或 协 
议 类 型 (如 果 文 持 多 协议 ) 来 划分 ,虽然 这 种 划分 方法 是 根据 IP 地 址 ,但 它 不 是 路 由 ,不 要 与 
网 络 层 的 路 由 混淆 。 它 虽然 查看 每 个 数据 包 的 IP 地 址 ,但 因为 不 是 路 由 ,所 以 ,没有 RIP、 
OSPF 等 路 申 协议 , 而 是 根据 生成 树 算 法 进行 交换 。 

这 种 划分 方法 的 优点 是 用 户 的 物理 位 置 发 生变 化 时 ,不 需要 重新 配置 用 户 所 属 的 
VLAN ,而 且 可 以 根据 协议 类 型 来 划分 VLAN, 这 对 网 络 管理 员 来 说 很 重要 ,此 外 ,这 种 方 
法 不 需要 附加 帧 标签 来 识别 VLAN, 这 样 可 以 减少 网 络 通信 量 。 
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这 种 划分 方法 的 缺点 是 效率 低 ,因为 检查 每 一 个 IP 数据 包 的 网 络 层 地 址 相对 于 前 面 两 
种 方法 比较 费时 ,一 般 的 交换 机 芯片 都 可 以 目 动 检查 网 络 上 数据 的 帧 头 部 分 ,但 要 让 必 片 能 
检查 IP 包头 ,需要 更 高 的 技术 ,同时 也 更 消耗 时 间 。 当 然 , 这 也 跟 各 个 设备 服务 提供 商 的 实 
现 方法 有 关 。 

4. 根据 IP 组 播 划 分 VLAN 

IP 组 播 实 际 上 也 是 一 种 VLAN 的 定义 , 即 认为 一 个 组 播 组 就 是 一 个 VLAN, 这 种 划分 
的 方法 将 VLAN 扩大 到 了 广域网 ,因此 这 种 方法 具有 更 大 的 灵活 性 ,而 且 也 很 容易 通过 路 
由 需 进 行 扩展 。 当 然 , 这 种 方法 不 适合 局 域 网 ,主要 是 效率 不 高 ,对 于 局 域 网 的 组 播 , 有 二 层 
组 播 协议 GMRP, 

不 同 的 VLAN 用 编号 来 区 分 ,其 有 效 范 围 如 表 9-1 所 示 。 


表 9-1 VLAN 编号 范围 


VLAN 范围 用 途 是 否 通过 VTP 传播 
0 和 4095 保留 用 户 不 能 使 用 不 适用 
1 正常 范围 默认 VLAN 使 用 ,不 能 删除 是 
2 一 1000 正常 范围 用 户 能 够 创建 ,使 用 和 删除 是 
1001 正常 范围 用 户 不 能 够 创建 ,使 用 和 删除 是 
1002 一 1005 保留 为 FDDI 和 令 牌 环 提供 不 适用 
1006 一 1009 保留 不 适用 
1010 一 1024 保留 不 适用 
1025 一 4094 保留 A BR fi Hi 否 


在 默认 情况 下 ,交换 机 所 有 接口 都 在 同一 个 VLAN1 中 ,用 户 可 以 设置 的 编号 范围 为 
2 一 1000, 这 也 足够 满足 实际 的 需求 。 


9.2.2 VLAN ÈR 


VLAN 的 成 员 模 式 和 VLAN 的 实现 方法 有 关联 ,主要 可 以 分 为 静态 VLAN, JS 
VLAN 和 本 征 VLAN. 


1. 静态 VLAN 

通常 情况 下 ,交换 机 中 的 VLAN 均 由 网 络 管理 员 创建 ,并 将 交换 机 的 革 些 端口 分 配给 
革 个 特定 的 VLAN, 这 种 VLAN 成 员 模式 被 称 为 静态 VLAN. 创建 静态 VLAN 是 创建 
VLAN 成 员 模 式 中 最 常用 的 方法 ,其 主要 原因 是 配置 简单 JE, HRS VLAN 最 安全 。 
这 种 安全 性 主要 源 自 : 将 交换 机 端口 分 配 到 某 个 特定 VLAN 后 ,除非 网 络 管理 员 手 工 修 
改 ,否则 它 将 一 直属 于 该 VLAN., 

2. 动态 VLAN 

这 是 另外 一 种 VLAN 成 员 模 式 。 网 络 管理 员 将 所 有 主机 设备 的 硬件 MAC 地 址 和 对 
应 所 属 的 VLAN ID 预先 写 人 交换 机 中 的 VLAN 管理 数据 库 , 交 换 机 创建 和 维护 该 数据 
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库 。 位 于 VLAN 管理 数据 库 中 的 主机 ,只 要 接 入 拥有 该 数据 库 的 交换 机 动态 VLAN 端口 
上 ,交换 机 就 能 够 动态 地 将 该 主机 分 配 到 其 所 属 的 VLAN。 动 态 VLAN 能 够 根据 VLAN 
管理 数据 库 自 动 确定 节点 所 属 的 VLAN ,通过 使 用 智能 管理 软件 ,除了 硬件 (MAC) 地 址 之 
外 ,还 可 以 根据 协议 甚至 创建 动态 VLAN 的 应 用 程序 来 确定 主机 所 属 的 VLAN. 


3. 本 征 VLAN 


本 征 VLAN(Native VLAN) 分 配给 交换 机 的 Trunk 端口 ,如 采用 IEEE 802. 1q ERAI 
Trunk 端口 。 该 Trunk 端口 支持 来 自 多 个 VLAN 的 流量 (有 IEEE 802. 1q Tag 的 流量 )， 
也 支持 来 自 VLAN 以 外 的 流量 (无 IEEE 802. lq Tag 的 流量 ) 。 所 有 的 数据 帧 在 Trunk 中 
传递 都 是 打上 Tag 的 ,如 果 数 据 帆 在 进入 Trunk mO WME A+ E Tag 了 ,如 VLAN10 的 
Tag, 且 该 Trunk 9 O AIF VLANIO 通过 的 话 , 该 VLAN10 的 数据 帆 就 能 通过 ,否则 于 弃 ; 
如 果 数 据 帆 在 进入 Trunk 9m H Bí x41] E Tag. M Trunk 交口 给 它 打 上 Native VLAN 的 
Tag, 该 数据 帧 在 Trunk 链 路 上 以 Native VLAN 身份 传递 。 
注意 : Native VLAN 只 用 于 Trunk 模式 的 端口 ,不 能 用 于 Access 模式 的 端口 。 


9.2.3 VLAN 标识 万 法 


交换 机 使 用 VLAN Tag 来 标识 和 跟踪 所 有 数据 帧 ,并 确定 数据 帧 所 属 的 VLAN. 
VLAN 的 标识 方法 主要 有 思科 交换 链 路 内 协议 ISL 和 IEEE 802. 1q 两 种 。 


1. 思科 交换 链 路 内 协议 


思科 灰 换 链 中 内 协议 (Cisco Inter-Switch Link Protocol,ISL) 是 一 种 显示 标记 方法 , 它 
能 够 在 以 太 网 数据 帧 中 添加 VLAN ID 等 字段 ,用 于 维护 交换 机 和 路 由 融 间 的 通信 流量 等 
VLAN 信息 。 这 些 标记 (CTag) 信 息 允 许 利 用 外 部 标记 方法 在 Trunk 链 路 上 多 路 复 用 多 个 
VLAN 的 数据 流 ,从 而 让 交换 机 确定 通过 Trunk 链 路 收 到 的 数据 帧 来 自 哪 个 VLAN。 

ISL 的 工作 原理 如 下 : 通过 使 用 ISL, 可 实现 多 台 交 换 机 、 路 由 絮 以 及 各 市 点 (如 服务 此 
所 使 用 的 网 络 接口 卡 ) 之 间 的 连接 操作 。 为 了 文 持 ISL 功能 特征 ,每 台 连 接 的 网 络 设备 都 
必须 采用 ISL 配置 ,采用 ISL 的 数据 流通 过 Trunk 链 路 在 交换 机 之 间 传 输 时 能 够 保留 
VLAN 信息 。ISL 运行 在 第 二 层 数 据 链 路 层 ,ISL 协议 头 和 协议 尾 采 用 新 的 帧 头 和 循环 元 
余 校 验 CCRC) 封 装 整个 第 二 层 以 太 网 数据 帧 。 因 此 ,ISL 被 认为 是 一 种 能 在 交换 机 间 传 送 
第 二 层 任 何 类 型 的 数据 贝 或 上 层 协 议 的 独立 运行 协议 。ISL 所 封 衣 的 数据 帧 可 以 是 令 牌 环 
(Token Ring) 或 快速 以 太 网 (Fast Ethernet) ,它们 在 发 送 端 和 接收 端 之 间 保 持 数 据 不 变 地 

需要 注意 的 是 ,ISL 是 一 种 Cisco 私有 协议 ,只 能 用 于 Cisco 公司 生产 的 网 络 设 备 之 间 
的 互联 ,主要 用 于 快速 以 太 网 和 吉 比 特 以 太 网 链 路 。ISL nT HFA m A ét EH ons de LII 
服务 冀 网 卡 接口 。 


2. IEEE 802. 1q 


与 思科 私有 的 ISL 不 同 ,IEEE 802. 1q 是 开放 协议 ,其 工作 原理 如 下 : 首先 设置 Trunk 
端口 ,并 指定 它 使 用 IEEE 802. 1q 封装 。IEEE 802. 1q 的 各 个 功能 都 是 通过 设置 Tag 来 完 
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成 的 ,与 ISL 完全 将 以 太 帧 重新 封装 不 同 ,一 个 包含 VLAN 信息 的 IEEE 802. 1q Tag 字段 
可 以 择 人 到 以 太 数 据 帧 中 成 为 Tag 帧 。 如 果 一 台 交 换 机 文 持 IEEE 802.1q 封装 的 Trunk 
端口 连接 男 一 台 文 持 IEEE 802.1q 的 设备 (如 另 一 台 交 换 机 ) ,那么 这 些 Tag 帧 可 以 在 交换 
机 之 间 相 互 传送 VLAN 成 员 人 信息, 这 样 VLAN 就 可 以 跨越 多 台 交 换 机 。 同 时 ,如 果 连 接 一 
个 不 文 持 IEEE 802. 1q 的 设备 问 口 (如 很 多 PC 和 打印 机 的 网 卡 接口 ) ,必须 确保 它们 用 于 
传输 无 Tag lbi, 

思科 Catalyst 2960 交换 机 只 支持 Trunk 协议 IEEE 802. 1g 封装 ,而 思科 Catalyst 3560 
交换 机 同时 支持 ISL 和 IEEE 802. lq. 


9.2.4 VLAN 创建 方法 

下 面 通过 一 个 实例 说 明 如 何在 交换 机 上 创建 VLAN。 

1. 实验 需求 

信息 学 院 有 学 院 办 公 室 ,教务 部 .科研 部 、 和 党 委 办 ,有 信息 技术 系 和 信息 管理 系 , 还 有 一 
个 信息 技术 重点 实验 室 和 一 个 工程 研究 中 心 , 现 信息 学 院 有 三 台 思 科 Catalyst 3560 交换 
机 ,其 中 一 台 专 门 用 于 学 院 办 公 室 和 教务 部 ,需要 创建 两 个 VLAN, 如 图 9-2 所 示 ,配置 端口 
fa0/1—f/10 用 于 学 院 办 公 室 ,端口 fa0/11-—£/20 用 于 教务 部 。 


Be = 
ae , 


MM 1 r 


\ 学 院 办 公 \ F 
SC VLANIO 7 V. VLAN20 / 


9-2 学院 办 公 室 和 教务 部 VLAN 划分 
2. 实验 内 容 


CD 根据 拓扑 结构 图 ,分 别 创建 两 个 VLAN。 
(2) 将 交换 机 A 的 端口 划分 到 对 应 的 VLAN 中 。 


3. 实验 配置 方法 


CD 在 交换 机 Switch A 上 创建 两 个 VLAN。 
创建 VLAN 有 两 种 配置 方法 ,第 一 种 方法 是 在 全 局 配置 模式 下 配置 ,如 下 所 示 : 
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NF 


SwitchA(config) # vlan 10 name adminoffice 


第 二 种 方法 是 在 VLAN 进程 中 配置 ,如 下 所 示 : 


SwitchA(config) # vlan 10 


SwitchA(config-vlan) # name eduoffice 


(2) 将 交换 机 A 的 端口 划分 到 对 应 的 VLAN 中 。 


将 端口 划分 到 VLAN 中 也 有 两 种 配置 方法 。 第 一 种 方法 是 将 单个 端口 配置 给 
VLAN, 需 要 先进 入 端 口 模式 进行 配置 ,如 下 所 示 : 


SwitchA(config) # interface fa0/1 


SwitchA(config- if) 4 switch mode access 


// 交 换 机 端口 模式 设 为 access, 当 连 接 终端 时 设 为 此 模式 


SwitchA(config- if) # switch access vlan 10  // 将 端口 fa0/1 划分 到 VLAN10 中 
SwitchA(config- if) # exit 


上 述 命 令 将 端口 fa0/1 划分 到 VLANIO 中 ,然后 采用 同样 的 方法 再 配置 fa0/2. fa0/3 
等 ,直到 fa0/10 配置 完 。 
第 二 种 方法 是 将 一 个 连续 的 端口 范围 同时 配置 给 某 个 VLAN ,需要 进入 端口 范围 模式 
进行 配置 ,如 下 所 示 : 


SwitchA(config) # interface range fa0/11 - 20 


SwitchA(config-if-range) 4 switch mode access 


// 进 入 端口 范围 模式 
/变换 机 端口 模式 设 为 access 


SwitchA(config-if-range)it switch access vlan 20  // 将 山口 fa0/11 一 fa0/20 划分 到 VLAN20 中 
SwitchA(config-if-range) # exit 


上 述 命令 直接 将 端口 范围 fa0/11 一 fa0/20 全 部 分 配给 VLAN20, 
4. 实验 结果 查看 


可 以 通过 show vlan 命令 查看 配置 结果 。 


Switcha # show vlan 


Name 


10 


1002 
1003 
1004 


default 


VLANI 


VLAN20 


fddi - default 
token - ring - default 
fddinet - default 


active 


active 


active 


act/unsup 
act/unsup 


act/unsup 


Fa0/21, Fa0/22, Fa0/23, 
Fa0/24, Gi0/1l Gi0/2 

Fa0/1, Fa0/2, Fa0/3, Fa0/4, 
Fa0/5, Fa0/6, Fa0/7, Fa0/8, 
Fa0/9, Fa0/10 

Fa0/11, Fa0/12 Fa0/13, Fa0/14, 
Fa0/16, Fa0/17 Fa0/18, Fa0/19, 
Fa0/20 
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9.3 Trunk 原理 与 配置 方法 


在 校园 网 或 园区 网 这 种 大 型 交换 式 网 络 环境 下 ,往往 包含 核心 层 、 汇 聚 层 、 接 入 层 等 多 
台 不 同类 型 的 交换 机 ,每 台 交 换 机 上 都 会 根据 需要 创建 多 个 YLAN。 当 多 台 交 换 机 都 创建 

同一 个 VLAN, 即 要 实现 VLAN 跨 不 同 交 换 机 的 主机 之 间 进 行 通信 时 ,需要 用 到 Trunk 
(中 继 ) 技 术 。 

当 两 台 不 同 交 换 机 创建 的 相同 VLAN 数量 较 多 时 ,如 果 要 实现 相同 VLAN 的 不 同 主 
机 跨 不 同 交换 机 进行 直接 通信 , 则 要 求 每 个 VLAN 都 需要 一 条 交叉 线 将 两 台 交 换 机 连接 起 
来 ,多 个 VLAN 就 需要 多 条 交叉 线 连接 ,从 而 浪费 交换 机 的 大 量 有 效 端 口 。 为 了 解决 这 个 
问题 ,必须 采用 Trunk 技术 。Trunk 只 需要 分 别 用 一 条 交叉 线 将 上 oo 
来 ,如 图 9-3 所 示 ,将 交叉 线 两 端 分 别 连接 Cisco 2960 和 Cisco 3560 ,并 将 连接 的 两 个 端 
设置 成 Trunk 模式 ,构成 Trunk 链 路 。Trunk 技术 可 以 通过 封装 不 同 VLAN ID 
得 一 条 物理 线路 可 以 识别 和 传输 多 个 不 同 VLAN 的 数据 ,从 而 节省 交换 机 的 大 量 有 效 端 
口 。 所 以 Trunk 拉 术 是 十 分 重要 的 ,Trunk 的 配置 过 程 也 是 必须 掌握 的 。 

Trunk 链 路 可 以 很 好 地 解决 不 同 交 换 机 相同 VLAN 加 主 机 的 互联 问题 。 


mL UM — 3560 
Trunk 
Hr HH inr m 
Red Black Hen Ta Bláck ne 
VLAN VLAN VLAN VLAN VLAN VLAN 


图 9-3 Trunk 链 路 


9.3.1 Trunk 应 用 


Trunk 链 路 具有 如 下 应 用 : 

(D) Trunk 链 路 用 于 交换 机 与 服务 器 相连 ,给 服务 器 提供 独 享 的 高 带宽 服务 。 

(2) Trunk f pi Hi T ac 38 9L zz IR] H3) ZR HX . 38 x A ym AO Trunk 方式 以 牺牲 少量 端口 数 来 
给 交换 机 之 间 的 数据 交换 提供 捆绑 的 高 带宽 ,提高 网 络 速度 ,突破 网 络 瓶颈 ,进而 大 幅 提 高 
网 络 性 能 。 

(3) Trunk 链 路 可 以 提供 负载 均衡 能 力 以 及 系统 容错 。 由 于 Drunk 链 路 能 够 实时 平衡 
各 个 交换 机 端口 和 服务 器 接口 的 流量 ,一 旦 某 个 端口 出 现 故 障 , 它 会 自动 把 故障 端口 从 
Trunk 组 中 撤销 ,进而 重新 分 配 各 个 Trunk 病 口 的 流量 ,实现 系统 容 销 。 


9.3.2 Trunk 实现 方式 


Trunk 机 制 的 实现 方式 有 两 种 : Ub ico CT JS » tp io t IEEE 标准 化 。 
IER ic Ae f 23 D ot rp didi AR VA PE Tag) ipio 3 VLAN 标识 有 关 , 当 数据 帧 穿越 交 
TR BLA FJ AT . Sc DLE H tb TO OK ER Eas PE B 2603s Dol. FE ,交换 机 就 能 够 识别 出 哪个 数据 
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帧 属于 哪个 VLAN, 从 而 更 容易 管理 。 

在 以 太 网 中 , 帧 标记 有 两 种 方案 : 

(D ISL-Cisco 私有 的 VLAN 标识 方法 。 

(2) IEEE 802. 1q 标准 (IEEE Standard) 的 VLAN 标识 方法 , 详 见 9.2.3 节 VLAN 标 
识 方法 。 


9.3.3 Trunk 配置 方法 
1. 实验 拓扑 


在 图 9-4 所 示 的 Trunk 配置 拓扑 图 中 ,计算 机 学 院 有 2 台 交 换 机 S1、S2,4 SEAH d 
RI.R2.R3,.R4, PfHzs R1 和 R2 分 别 通过 fa0/0 与 交换 机 S1 的 fa0/1 和 fao/2 相连 ; 交 
换 机 S1 的 fa0/1 位 于 VLAN20 下 ,fa0/2 位 于 VLAN30 F; R1 位 于 192. 168. 20.1/24 子 
网 下 ,R2 位 于 192. 168. 30.2/24 子 网 下 。R3 和 R4 分 别 通 过 fa0/1 与 交换 机 S2 的 fa0/3 和 
fa0/4 相连 ; 交换 机 S2 的 fa0/3 位 于 VLAN20 下 ,fa0/4 位 于 VLAN30 下 ; R3 位 于 
192. 168. 20. 3/24 子 网 下 ,R4 位 于 192.168. 30. 4/24 子 网 下 。 交 换 机 Sl 和 S2 通过 各 有 自 的 
fa0/13 进行 相连 ,这 些 设备 组 成 网 络 , 共 享 学 院 资 源 。 


fol ~~VLAN20 
E77 J 


ri 
Fi l 


". fa0/2 


~、 192.168.30.2/24 
_- VLAN30 fa0/0 


计算 机 学 院 
fa0/l3 | jfa03 NVLAN20 fa0/ 
一 一 一 一 一 P ^ 
»--^ 192.168.20.3/24 


192.168.30.4/24 
_- NLAN30 fa0/1 


` fa0/4 


图 9-4 Trunk 配置 拓扑 图 


2. 实验 内 容 


CD 根据 拓扑 图 ,在 两 人 台 交 换 机 上 分 别 创建 对 应 VLAN。 

(2) 将 交换 机 相应 端口 划分 进 各 自 VLAN. 

(3) 配置 交换 机 之 间 端 口 的 Trunk 协议 。 

3. 实验 配置 

(1) 创建 VLAN 并 划分 端口 ,参考 9. 2.4 节 VLAN 创建 实例 的 配置 方法 。 
(2) 配置 两 台 交 换 机 之 间 的 Trunk 链 路 ,需要 在 两 台 交 换 机 上 分 别 配置 。 


Sl(config) # int f0/13 
Sl(config-if) 4 switchport trunk encanpsulation dotiq 
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// 配 置 Trunk 链 路 的 封装 类 型 ,同一 链 路 的 两 端 封 装 要 相同 。2960 交换 机 只 能 封装 dotlq, 故 无 须 此 
// 步 又 

S1(config-if)# switch mode trunk // 配 置 端口 模式 为 trunk 
S2(config) 井 int f0/13 

S2(config- if) 间 switchport trunk encanpsulation dotlq 

S2(config-if) # switch mode trunk 


4. 实验 结果 分 析 


查看 Trunk 链 路 的 状态 ,使 用 show interface f0/13 trunk 可 LJ Æ A ^c $& EL ym O B 
trunk 状态 。 

测试 跨 交 换 机 同一 VLAN 主机 间 的 通信 和 情况: 

在 R1 E ping R3 的 192. 168. 20. 3 ,结果 应 该 能 够 ping 通 。 同 理 , 在 R2 上 ping R4 的 
192. 168. 30. 4. 4 A, BE ORE. 

但 是 ,在 R1 b ping R2 或 者 R4, 或 者 在 R2 上 ping RI 或 者 R3, 其 结果 应 该 都 不 能 
ping 通 。 为 什么 ? 

结论 : Trunk 链 路 能 实现 不 同 交 换 机 相同 VLAN 间 设 备 互通 ,不 能 实现 不 同 交 换 机 不 
I] VLAN 间 的 通信 。 


^ 


在 校园 网 或 园区 网 这 种 大 型 交换 式 网 络 环 境 下 ,交换 机 数量 非常 多 , 当 每 台 交 换 机 上 根 
据 需 求 配置 多 个 VLAN 时 ,整个 网 络 的 VLAN 数量 会 变 得 难以 有 效 管理 ,这 时 需要 一 种 能 
够 有 效 创建 ,同步 和 管理 VLAN 的 协议 , 它 就 是 VTP。 

VLAN 中 继 协 议 (VLAN Trunking Protocol,VTP) 通 过 Trunk 端口 以 组 播 方式 让 在 
同一 管理 域内 所 有 交换 机 的 VLAN 配置 信息 保持 一 致 ,由 此 减少 VLAN 配置 任务 ,高 效 管 
理 整 个 交换 网 络 的 VLAN 信息 。 

VTP 具有 如 下 优点 : 

CD 使 得 整个 网 络 的 VLAN 配置 保持 一 致 性 。 

(2) 在 混合 介质 的 网 络 中 提供 一 种 VLAN 中 继 映 射 机 制 ,能 够 跨 多 台 交 换 机 管理 
VLAN, 

(3) 能 够 对 VLAN 实施 精确 跟踪 和 监控 。 

(4) REEE HI EAI VLAN 的 动态 报告 。 

CO 支持 添加 新 的 VLAN 的 即 插 即 用 的 配置 方法 。 


9.4.1 VTP 概述 


VTP 是 一 种 消息 协议 ,通过 使 用 第 二 层 的 中 继 帧 在 大 型 交换 网 络 中 负责 管理 VLAN 
的 添加 、 删 除 和 重 命 名 ,通过 一 台 工 作 在 服务 需 模 式 下 的 中 央 交 换 机 完成 这 些 任务 ,在 同一 
个 VLAN 域 中 的 其 他 交换 机 会 通过 VTP 协议 同步 VLAN 信息 。 

VTP 的 任务 是 在 一 个 公共 管理 域 中 维持 VLAN 配置 的 一 致 性 。 如 果 网 络 管理 员 配 置 
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VLAN 错误 ,例如 VLAN 名 称 重 复 、VLAN 的 类 型 说 明 错 误 或 违背 安全 性 的 做 法 等 ,都 会 
引起 一 系列 问题 ,而 V TP. 协议 能 将 网 络 中 的 类 似 错误 配置 减 到 最 少 , 大 幅 提 高 网 络 管理 员 
的 工作 效率 和 网 络 整体 性 能 。 

在 建立 一 个 新 的 VLAN 之 前 ,首先 要 考虑 用 户 的 网 络 中 是 否 应 用 了 VTP。 因 为 VTP 
的 存在 ,可 能 会 使 一 台 交 换 机 的 配置 改变 自动 影响 其 余 所 有 交换 机 的 配置 

一 台 交 换 机 可 支持 1005 个 VLAN 数 , 但 这 个 数 会 因为 路 由 接口 .SVI 或 者 配置 了 其 他 
特性 的 交换 机 硬件 而 受到 影响 。 通 过 show vlan 命令 可 以 看 到 这 时 的 VLAN 状态 。 

VTP 只 文 持 标准 的 VLAN(Cvlan 号 为 1 一 1005) ,不 文 持 扩展 的 VLAN。 

VTP 域 (VTP domain) ,也 被 称 为 VLAN 管理 域 (VLAN management domain) ,是 由 
一 个 以 上 共享 VTP 域名 的 相互 连接 的 交换 机 组 成 。 网 络 中 的 VTP 域 是 一 组 VTP 域名 称 
相同 并 通过 Trunk 相互 连接 的 交换 机 。 一 台 交 换 机 可 以 属于 也 只 能 属于 一 个 VTP X. nf 
以 更 改 关 于 VTP 域 的 全 局 VLAN 配置 ,这 可 以 通过 交换 机 的 CLI 或 者 适当 的 网 络 管理 工 
具 完 成。 

默认 情况 下 ,交换 机 处 于 VTP 服务 器 (server) 模 式 , 并 且 不 属于 任何 的 管理 域 ,直到 交 
换 机 通过 Trunk 链 路 接收 到 了 关于 一 个 域 的 通告 ,或 者 在 交换 机 上 配置 了 一 个 VLAN 管 
理 域 。 只 有 在 指定 或 者 由 交换 机 自己 学 到 管理 域 的 名 称 后 ,才能 在 VTP 服务 锅 上 创建 或 
更 改 VLAN. 


9.4.2 VTP 模式 
VTP 协议 中 有 三 种 模式 : IE IR (Server), A P rm B xx (Client) 和 透明 模式 


(Transparent) , 
1. RR oS eR XX 


为 了 有 效 管理 整个 网 络 的 VLAN 信息 , 需 将 VLAN fri fei 5 VTP 域 , 至 少 需 
一 人 台 交 换 机 被 设置 成 VTP 服务 器 模式 。 只 有 处 于 服务 器 模式 的 交换 机 才能 在 VTP 域 中 
创建 ,添加 和 删除 VLAN, 发 送 和 转发 VTP 通告 信息 ,同步 和 保存 VLAN 配置 。 修改 
VLAN 信息 时 也 必须 在 服务 兹 模式 下 进行 ,在 处 于 服务 带 模 式 下 的 交换 机 中 对 VLAN 所 
做 的 任何 修改 都 将 被 通告 给 整个 VTP 域 。 在 VTP 服务 器 模式 下 ,VLAN 配置 信息 被 存储 
在 NVRAM 中 。 

2. 客户 端 模式 

这 种 模式 的 交换 机 接收 来 自 VTP 服务 器 的 VLAN 信息 ,也 接收 并 转发 更 新 ,从 这 种 意 
义 上 说 ,它们 类 似 于 VTP 服务 器 。 差 别 在 于 它们 不 能 创建 ,修改 或 删除 VLAN。 男 外 ,只 
能 将 客户 端 交 换 机 的 端口 加 入 其 VLAN 数据 库 中 已 有 的 VLAN 中 。 还 需要 知道 的 是 , 客 
户 端 交 换 机 不 会 将 来 和 目 VTP HR A aH) VLAN 信息 存储 到 NVRAM 中 ,这 一 点 很 重要 , 它 
意味 看 如 果 交 换 机 重 置 或 重 局 ,从 服务 需 模 式 同 步 过 来 的 VLAN 信息 将 丢失。 要 让 交换 机 
成 为 VTP 服务 需 模 式 ,应 首先 让 其 成 为 客户 端 模式 ,以 便 接收 和 同步 所 有 正确 的 VLAN 信 
息 ,再 将 其 切换 到 VTP 服务 器 模式 。 
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3. 透明 模式 


处 于 透明 模式 的 交换 机 不 加 入 VTP 域 ,也 不 分 享 其 VLAN 数据 库 , 只 通过 Trunk 链 
路 转发 VTP 通告 。 它 们 可 以 创建 ,修改 和 删除 VLAN ,并 保存 自己 的 VLAN 数据 库 , 且 不 
将 其 告诉 其 他 交换 机 ,也 不 同步 VTP IRS ARAA VLAN 信息 。 虽 然 处 于 透明 模式 的 交 
换 机 将 其 VLAN 数据 库 保 存 到 NVRAM 中 ,但 这 种 数据 只 在 本 地 有 意义 。 设 计 透 明 模式 
的 目的 是 让 人 事 部 门 .财务 部 门 等 敏感 组 织 的 VLAN 信息 不 流 到 网 络 的 其 他 VLAN 中 , 同 
时 也 不 接收 其 他 VLAN 的 相关 信息 ,和 其 他 VLAN 保持 逻辑 隔离 ,以 保护 自身 VLAN 信 
EH A. 

当 要 建立 扩展 的 VLAN(1096 一 4094) 时 ,交换 机 必须 处 于 透明 模式 。 

当 建立 私有 VLAN 时 ,也 必须 处 于 透明 模式 。 当 私有 VLAN 建立 后 ,交换 机 就 不 能 由 
透明 模式 变 为 客户 或 服务 器 模式 。 


9.4.3 VTP 工作 原 理 


VTP 检测 通告 中 VLAN 的 增加 信息 作为 对 交换 机 的 一 种 通知 ,使 它们 可 以 准备 接收 
Trunk 交口 上 具有 最 新 定义 的 VLAN ID, 仿 只 局 域 网 名 称 或 IEEE 802. 10 安全 组 织 标识 
fj (Security Association IDentifiers,SAID) 的 网 络 通信 。 

如 图 9-5 中 ,处 于 VTP 服务 器 模式 的 交换 机 A 增加 了 一 个 VLAN 条 目 , 配 置 数据 库 中 
有 个 修正 号 (Revision,Rev) ,一 旦 VLAN 信息 有 变化 ,修正 号 要 十 1( 注 意 : 修正 号 越 大 表示 
信息 越 新 ) ,然后 通过 Trunk 链 路 发 送 这 个 VTP 通告 给 交换 机 B 和 C, 交 换 机 B 和 CC 检查 
目 己 的 修正 号 ,看 是 否 小 于 通告 中 的 修正 号 ,如 果 小 , 则 同步 通告 中 的 修正 号 和 VTP 更 新 
信息 ,将 VTP 中 的 更 新 信息 覆盖 已 经 存储 的 信息 。 

注意 ; 处 于 另 一 个 域 的 交换 机 不 会 处 理 这 个 更 新 。 


4. Rev 3—- Rev 4 4. Rev 3——Rev 4 
5. 同步 新 的 VYLAN 信 息 5. 同步 新 的 VLAN 信 息 


VTP client 


pump" 
< f VTP client 
NE NE 


ES 站 


ex VIP server 


1. 增加 新 的 VLAN 
2. Rev 3— Rev 4 


图 9-5 VTP 工作 原理 


总 之 ,VTP 通告 以 组 播 帧 的 方式 发 送 ,VTP 通告 中 有 一 个 字段 是 修正 号 Rev, 初 始 值 
为 0。 只 要 在 VTP server 上 创建 ,修改 和 删除 VLAN ,通告 的 Rev 值 就 加 1, 通告 中 还 包含 
VLAN 信息 的 变化 。 为 了 防止 交换 机 接收 到 延 人 返 的 VTP 通告 ,交换 机 只 接收 比 本 地 保存 
的 Rev 号 更 高 的 VTP 通告 。 
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9.4.4 VTP 配置 方法 
1. 实验 拓扑 


下 面 通 过 一 个 实例 说 明 如 何 配 置 VTP 协议 。 
计算 机 学 院 有 三 台 交 换 机 S1、S2 和 S3.S1. S2 的 fa0/15 端口 分 别 与 S3 的 fa0/1 和 
fa0/2 奖 口 进行 连接 ,组 成 一 个 交换 网 络 , 如 图 9-6 所 示 。 
Mi adis VTP client 


do Li 
=M 


E 15 Beam f 


M s - 


fa0/] 一 一 fa0/2 


DL sm d 
VTP Transparent 


图 9-6 VTP 配置 拓扑 图 


2. 实验 内 容 


CD 在 三 台 交 换 机 上 建立 两 条 Trunk 链 路 。 

(2) 在 三 台 交 换 机 上 分 别 配置 如 图 9-6 所 示 的 VTP 模式 。 

(3) 在 交换 机 SI 上 创建 两 个 VLAN ,观察 三 台 交 换 机 的 VLAN 变化 。 

(D 理解 不 同 VTP 模式 的 作用 。 

3. 实验 配置 

CD 在 三 台 交 换 机 上 建立 两 条 Trunk 链 路 ,配置 完 之 后 ,检查 交换 机 上 的 Trunk 是 否 
建立 正常 , 若 不 正常 , 则 参考 9. 3. 3 节 Trunk 配置 方法 ,建立 正确 的 Trunk 链 路 。 


(2) 在 三 台 交 换 机 上 配置 VTP 模式 。 
首先 ,配置 交换 机 Sl 为 server 模式 ,方法 如 下 : 


Sl(config) # vtp mode server / /配置 S1 为 VIP server, 默认 VIP 模式 为 server 
Device mode already VTP SERVER. / / 提示 配置 成 功 

Sl1(config) # vtp domain VTP - TEST // 配 置 VIP 域名 ,要 求 网 络 中 的 交换 机 处 于 相同 的 域 
Changing VIP domain name from NULL to VIP- TEST  // 配 置 成 功 

Sl(config) # vtp password cisco // 配 置 VIP 的 口令 

Setting device VLAN database password to cisco // 配 置 成 功 


然后 ,配置 交换 机 S3 为 VTP transparent 模式 ,方法 如 下 : 


S3# vlan database 

S3(vlan) # vtp transparent // 配 置 S3 为 VIP transparent 模式 ,第 二 种 配置 方法 
Setting device to VTP TRANSPARENT mode. 

S3(vlan) # vtp domain VTP — TEST // 相 同 的 VTE 域名 
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Domain name already set to VTP - TEST . 


S3(vlan) # vtp password cisco 


/ AB Ie] f VTE 口令 


Setting device VLAN database password to cisco. 


最 后 ,配置 交换 机 S2 为 VTP client 模式 ,方法 如 下 ， 


S2(config) 井 vtp mode client 


Setting device to VTP CLIENT mode. 
S2(config) # vtp domain VTP - TEST 
Domain name already set to VTP — TEST. 


S2(config) # vtp password cisco 


(32 Æ S1 上 创建 两 个 VLAN, 并 在 S2.S3 上 查看 VLAN 的 情况 。 


Sil(config)# vlan 20 name faculty 
Sl(config)# vlan 30 name student 


S2: show vlan 


VLAN Name 

1 default 

20 faculty 

30 student 

1002 fddi-default 


//S2 学 习 到 了 si 创建 的 VLAN 
$341 show vlan 


VLAN Name 

1 default 

1002 fddi-default 

1003 token-ring-default 
1004 fddinet-default 
1005 trnet-default 


Status Ports 
active Fa0/1, Fa0/2, Fa0/3, Fa0/4 
Fa0/5, Fa0/6, Fa0/7, Fa0/8 
active 
active 
act/unsup 
Status Ports 
active Fa0/3, Fa0/4, Fa0/5, Fa0/6 
Fa0/7, Fa0/8, Fa0/9, Fa0/10 
Fa0/11, Fa0/12 
active 
active 
active 
active 


// 由 于 S3 为 透明 模式 ,无 法 同步 S1 上 创建 的 VLAN, 但 可 以 传递 VLAN 信息 ,所 以 s2 能 学 习 到 


4. 实验 结果 分 析 


S14 show vtp status 

VTP Version : 2 

Configuration Revision : 2 
Maximum VLANs supported locally 
Number of existing VLANs : 7 
VTP Operating Mode : Server 

VIP Domain Name : VTP- TEST 

VTP Pruning Mode : Disabled 

VIP V2 Mode : Disabled 


VTP Traps Generation : Disabled 


/ /NTP 版 本 2 
/ le YI 5J 2 
: 1005 
/ /NLAN 数量 
/ /NTP 模式 
/ /NTP 域名 
/ /VTP 4 83 Zi d a Hl 
/ /VTP 版 本 2 未 局 用 
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MD5 digest : OxD4 0x30 OxE7 OxB7 OxDC OxDF Ox1B OxD8 
Configuration last modified by 0.0.0.0 at 3- 1- 93 00:22:16 
Local updater ID is 0.0.0.0 (no valid interface found) 


注意 修订 版 本 号 AE S 上 修改 .创建 VLAN , 则 修订 版 本 号 将 会 增加 。 


1. 实战 拓扑 


计算 机 学 院 有 三 人 台 交 换 机 SWI.SW2 8l SW3,SWI1 和 SW?2 为 思科 Catalyst 3560. SW3 
为 思科 Catalyst 2960; 5 台 PC 分别 连接 不 同 的 交换 机 并 处 于 各 日 的 VLAN 中 用 于 测试 ， 
实战 演练 拓扑 图 如 图 9-7 所 示 , 子 网 地 址 可 以 自行 规划 。 


VLANIO 
| fa0/5 3560. 3560 
T — zad fa0/1 fa0/1 pz 0/8 
fao EN NEZ | 
j fa0/10 计算 机 学 院 fa0/20 VLANIO 
VLAN20 
2960 fa0/20 


fa0/10 mms 
A m 


图 9-7 实战 演练 拓扑 图 


2. 实验 需求 


(OD 根据 拓扑 图 9-7 进行 网 络 设备 连接 ,清除 交换 机 的 原 有 配置 并 重新 局 动 。 

(2) 把 Cisco Catalyst 3560 交换 机 SW1 设置 成 YTP Server 模式 (默认 配置 ),VTP 3X 
名 为 computer, TE SW1 上 显示 VTP 相关 的 配置 .状态 信息 ,并 列 出 VTP 的 统计 信息 。 

(3) 配置 交换 机 SW2 和 SW3 的 VTP 属 性 ,域名 设 为 computer. Bi 3X JJ Client, 

(4) 配置 和 查看 交换 机 之 间 的 VLAN Trunk 链 路 。 

(5) 在 Cisco Catalyst 3560 交换 机 SW1 上 分 别 用 两 种 不 同 的 方法 创建 3 个 VLAN: 
VLAN10、VLAN20、VLAN30。 使 用 两 种 不 同 的 方法 给 各 VLAN Diin H, JPR PCI 和 
PC2 接 入 相应 的 VLAN, PC 上 设置 好 IP 地 址 。 

(6) 查看 交换 机 SW2 和 SW3 的 VTP 和 VLAN 信息 ,并 将 其 他 PC 均 接 入 相应 的 
VLAN 中 ,设置 正确 的 IP 地 址 。 

(7) 全 网 测试 。 测 试 处 于 相同 VLAN 的 不 同 交 换 机 所 连接 的 主机 之 间 是 否 能 够 正常 
通信 ? 处 于 相同 交换 机 不 同 VLAN 的 主机 间 是 否 能 够 正常 通信 ? 测试 完 后 记录 结果 并 对 
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结果 进行 分 析 , 能 得 出 什么 样 的 结论 ? 


(1) Trunk 端口 无 法 正常 建立 时 ,排查 端口 的 模式 是 否 正 确 ? 

(2) VLAN 无 法 跨 Trunk 链 路 建立 时 ,排查 链 路 两 端的 二 层 接 口 是 否 正常 有 效 , 链 路 
两 端 是 否 处 于 同一 个 VTP 域 中 , 且 口 令 是 否 一 致 等 。 

(3) 常用 查看 命令 

show interface f0/1 trunk: 查看 该 接口 的 trunk 配置 。 

show interface f0/1 switchport: 查看 该 接口 的 交换 机 端口 配置 。 

show vtp status; 查看 VTP 配置 及 当前 状态 。 

show vlan: 查看 交换 机 配置 的 VLAN 信息 及 端口 划分 情况 。 

show interface trunk: 查看 交换 机 中 trunk 端口 的 配置 情况 。 


全 题 与 思考 
| Cl —] / L> 


1. VLAN 是 一 项 什么 技术 ?为 什么 它 在 现代 交换 网 络 中 占有 重要 的 位 置 ,能 称 为 交换 
网 络 的 灵魂 ? VLAN 和 普通 的 IP 了 于 网 有 什么 异同 ? 

2. Trunk 是 如 何 识别 不 同 的 VLAN 数据 的 ? 它 能 解决 不 同 交 换 机 相同 VLAN 之 间 
的 通信 问题 , 它 可 以 解决 不 同 交 换 机 不 同 VLAN 之 间 的 通信 问题 吗 ? 为 什么 ? 

3. 使 用 VTP 时 ,要 使 得 网 络 中 各 交换 机 能 够 正常 工作 ,需要 注意 哪些 事项 ? 如 果实 战 
演练 项 目 配 置 完 后 ,发 现 不 同 交 换 机 相同 VLAN 的 主机 仍然 无 法 连通 ,你 可 以 试 着 排 错 吗 ? 
有 哪些 技巧 ? 


VLAN 间 路 由 与 配置 方法 | 


在 校园 网 、 园 区 网 等 实际 网 络 部 署 运营 中 ,常常 需要 根据 实际 应 用 跨 不 同 物理 位 置 组 建 
AES VLAN, 因 不 同 VLAN 的 主机 之 间 需 要 相互 访问 ,这 就 要 求 数据 跨 不 同 子 网 ,必须 
启用 VLAN 间 路 由 。 本 章 首先 介绍 为 什么 需要 VLAN 间 路 由 以 及 什么 是 VLAN 间 路 由 ， 
然后 围绕 两 种 实现 VLAN 间 路 由 的 方法 : FA dg fe E XAR UE S 428 TL ER E o 3c 
验 实例 ,最 后 给 出 实战 演练 项 目 。 


10.1 为 什么 需要 VLAN 间 路 由 

VLAN 之 则 需要 相互 访问 才 有 意义 ,才能 更 好 地 服务 用 户 。 所 有 不 同 VLAN IB] ES 7i 
量 想 要 相互 通信 ,必须 借助 路 由 器 或 者 三 层 交 换 机 。 本 节 主 要 介绍 在 现代 局 域 网 中 为 何 需 
要 VLAN 间 路 由 以 及 相关 概念 术语 。 


10.1.1 VLAN 间 路 由 之 问 


在 校园 网 .园区 网 等 实际 网 络 部 普 运 彰 中 , 篆 第 需要 根据 实际 的 应 用 需求 , 蜂 不 同 物 理 
位 置 组 建 不 同 的 VLAN, 如 各 学 院 的 教务 VLAN, FP VLAN, AR VLAN, E AIEE 
VLAN 等 。 通常 情况 下 ,只 有 属于 同一 个 VLAN 的 主机 才能 互相 通信 ,因为 VLAN 能 够 将 
不 同 的 流量 隔离 到 不 同 的 广播 域 和 子 网 中 ,第 9 章 曾 学 过 用 Trunk 链 路 能 够 很 好 地 解决 不 
同 交 换 机 相同 VLAN 间 主 机 的 互联 问题 。 而 实际 情况 下 ,校内 师 生 都 要 访问 学 校 图 书馆 数 
据 库 ,各 系 、 各 重点 实验 室 等 都 需要 访问 教务 教学 、 科 人 研 项 目 等 信息 ,这 就 要 求 不 同 VLAN 
之 间 能 够 互联 互通 ,而 Trunk 链 路 不 能 实现 这 种 功能 。 那 么 ,什么 技术 能 够 实现 不 同 
VLAN 间 主 机 的 互联 呢 ? 答案 是 VLAN 间 路 由 。 如 何 实 现 VLAN 间 路 由 呢 ? 

(D VLAN 间 通 信和 可 以 通过 物理 的 或 者 逻辑 的 连接 来 解决 。 

(2) 物理 连接 需要 为 每 一 个 VLAN 指定 一 个 单独 的 物理 接口 , 当 VLAN 数量 较 多 时 ， 
受 限 于 物理 设备 接口 的 数量 ,有 时 无 法 灵活 满足 需求 。 

(3) 逻辑 连接 涉及 一 个 从 交换 机 到 路 由 需 的 单独 Trunk 连接 ,Trunk 链 路 携带 多 个 
VLAN 的 信息 ,这 种 拓扑 结构 称 为 单 臂 路由。 

(4) 还 有 一 种 逻辑 的 方式 是 来 用 三 层 以 上 交换 机 ,利用 交换 虚 接 口 (SV 了 DD) 能 够 联通 多 个 
VLAN, 以 及 三 层 以 上 交换 机 日 币 路 由 功能 ,来 实现 不 同 VLAN 间 路 由 。 

因 VLAN 间 路 由 的 需求 非常 现实 ,也 显而易见 。 本 革 将 详细 介绍 两 种 主流 的 VLAN 
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间 路 由 的 实现 方法 ,第 一 种 是 单 臂 路 由 ,种 二 种 是 三 层 交 换 。 这 两 种 方法 都 应 用 广泛 ,如 何 
选择 取决 于 网 络 中 设备 部 署 悄 况 , 如 果 有 路 由 带 , 则 可 以 考虑 单 辟 路 由 ; 如 果 有 三 层 交 换 
机 , 则 可 以 采用 三 层 交 换 技 术 。 


10.1.2 VLAN 间 路 由 术语 


本 章 涉 及 的 术语 主要 包括 以 下 3 个 。 

COD 子 接口 。 路 由 喝 的 物理 接口 为 了 能 够 和 与 之 连接 的 快速 以 太 网 端口 同时 支持 ISL 
或 IEEE 802. 1q 的 VLAN 封装 ,会 将 该 物理 接口 分 成 多 个 逻辑 接口 ,每 个 逻辑 接口 对 应 一 
个 VLAN. HA rH IP 地 址 作为 对 应 VLAN 主机 的 默认 网 关 , 这 些 逻 辑 接口 被 称 为 子 接口 。 

(2) ISL/IEEE 802. 13, ISL/IEEE 802. 1q 是 快速 以 太 网 口 Trunk $ PRAE RHI, 
一 个 单一 的 ISL 或 IEEE 802. 1q 链 路 可 以 根据 Tag 传输 多 个 VLAN 信息 。 

(3) Ac d Hg JU BE O (Switch Virtual Interface, SVI). az 45& Mg JU B O tl, fk Jy VLAN 接 
口 ,是 一 种 逻辑 的 三 层 接口 ,类 似 路 由 器 子 接口 ,默认 是 开启 的 ,其 接口 IP 地 址 作为 对 应 
VLAN 主机 的 默认 网 关 , 主 要 用 于 VLAN 间 路 由 。 同 时 ,也 可 以 用 于 远程 访问 管理 接口 。 


10.2 ^ HIE 


10.2.1 VLAN 间 路 由 概述 


当 在 一 个 VLAN( 广 播 域 ) 中 的 主机 想 要 访问 在 男 一 个 VLAN( 通 过 VLAN ID 区 分 ) 
中 的 主机 时 ,必须 通过 路 巾 设 备 ,如 路 由 需 。 

如 果 一 个 VLAN 跨越 多 个 网 络 设备 ,如 交换 机 ,在 各 交换 机 之 间 要 采用 交叉 线 连接 ,并 
将 到 叉 线 两 端的 病 口 设置 成 Trunk 链 路 ,由 Drunk 封装 和 识别 不 同 的 VLAN 数据 帆 。 

在 实际 校园 网 中 ,如 图 10-1 所 示 , 有 两 台 交 换 机 ,信息 学 院 的 交换 机 A 和 图 书馆 的 交换 
机 B, 在 交换 机 A 上 划分 出 实验 室 VYLAN10, 在 交换 机 B 上 划分 出 数据 库 VLAN20 ,现在 实 
wE VLANIO 的 主机 K 要 访问 图 书馆 VLAN20 REES G8 X. 


pu 
nue Trunk 
Fa 
/ 
/ 
f 
| 
| 
| 
\ 
i 
X ! / 
XV 实验 室 。 \、 数据 库 / 
lr d ~ VLAN20, ^ 


图 10-1 不 同 VLAN 间 访 问 需求 


在 没有 路 由 辅助 的 情况 下 ,实验 室 VLAN10 的 主机 K 和 图 书馆 VLAN20 的 数据 库 服 
务 需 不 能 通过 Trunk 链 路 进行 通信 。 
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在 非 Trunk 链 路 环境 下 ,为 了 使 得 VLANI10 的 主机 K 能 够 访问 图 书馆 VLAN20 的 数 
据 库 服务 器 ,这 就 要 求 VLAN10 和 VLAN20 之 间 进 行路 由 ,采用 路 由 器 实现 。 路 由 器 必须 
用 一 个 快速 以 太 网 接口 连接 在 VLANI0 中 ,用 另 一 个 快速 以 太 网 接口 连接 在 VLAN20 中 ， 
如 图 10-2 所 示 。 


rà 
—  —— »* 


/ 

/ F 

l / fa0/11 
I i 
| 1 
| | 
| | 
\ ; 
A 

A 

^ / 

S 实验 室 / A 数据 库 
N NLANIO, d ` VLAN20, ^ 


图 10-2 EHI aRSEER VLAN 间 路 由 


图 10-2 相 比 图 10-1 增加 了 一 人 台 路 由 天 ,能 够 满足 实验 室 VLAN10 的 主机 K 访问 图 书 
fH VLAN20 的 数据 库 服 务 需 X 的 需求 。 然 而 , 当 交 换 机 A 和 交换 机 也 再 划分 更 多 的 
VLAN 时 , 惑 震 要 更 多 的 路 由 瑚 接口 来 连接 交换 机 疾 口 。 但 是 ,路 由 璐 的 快速 以 太 网 接口 
数量 有 限 ,不 能 文 持 更 多 的 VLAN。 那 么 ,如 何 解决 路 由 需 快 速 以 太 网 接口 受 限 的 问题 呢 ? 
可 以 采用 单 辟 路 由 技术 ,通过 在 一 个 物理 接口 上 创建 多 个 子 接口 实现 和 多 个 VLAN 之 间 的 
通信 。 


10.2.2 单 辟 路 由 原理 


使 用 路 由 器 时 , 单 辟 路 由 是 一 种 VLAN 间 实 现 相互 通信 的 最 常用 工具 。 路 由 器 只 需要 
一 个 快速 以 太 网 口 和 交换 机 相连 ,并 将 与 其 相连 的 交换 机 端口 设置 为 Trunk 端口 。 在 路 由 
器 快速 以 太 网 接口 上 创建 多 个 虚拟 子 接口 以 便 封装 不 同 的 VLAN ,为 不 同 VLAN 间 的 流 
量 提供 路 由 。 


1. 子 接口 


单 臂 路 由 主要 依赖 子 接口 实现 VLAN 间 路 由 ,以 下 是 需要 重点 关注 的 几 个 方面 : 

CD 子 接口 是 路 由 器 物理 接口 上 的 逻辑 接口 , 当 路 由 器 物理 接口 激活 时 , 子 接口 默认 是 
激活 的 。 

(2) 路 由 融 物 理 接口 无 顷 配置 IP 地 址 ,但 是 ,每 个 子 接 口上 需要 配置 IP 地 址 ,和 对 应 
的 VLAN 在 同一 个 子 网 , 且 子 接口 IP 地 址 为 对 应 VLAN 所 属 主 机 的 默认 网 关 。 

(3) 为 了 完成 VLAN 间 路 由 ,必须 为 每 个 VLAN 创建 一 个 子 接口 。 
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2. 工作 原理 


如 果 把 子 接口 看 成 是 一 个 独立 的 以 太 网 接口 ,每 个 VLAN 是 一 个 子 网 ,对 应 子 接口 作 
为 该 VLAN 主机 的 默认 网 关 , 则 VLAN 间 路 由 问题 就 变 得 简单 了 。 如 图 10-3 所 示 , 路 由 
青 使 用 以 太 网 接口 fa0/0 连接 交换 机 端口 fa0/24, 在 交换 qi 
机 A ESIgW VLAN: XE VLAN10, 分 配 端 口 fa0/ CN 
1; Ht 2588 VLAN20, 4) Bim O fa0/11。 采 用 单 臂 路 申 的 人 
方式 ,需要 将 路 由 器 以 太 网 接口 fao/0 创建 两 个 子 接口 TU 
fa0/0. 10 和 fa0/0. 20 ,分 别 对 应 两 个 VLAN; 和 路 由 器 
fa0/0 连接 的 是 交换 机 端口 fa0/24, 将 其 设置 为 Trunk 端 NJ o 
口 ,以便 能 够 封装 和 识别 不 同 的 VLAN; 并 配置 子 接口 和 MT 

| 
| 


fa0/0.20 


Trunk 端口 的 VLAN 封装 方式 ,使 其 一 致 。 runc! 

接 下 来 通过 分 析 数 据 包 转 发 路 径 来 分 析 单 臂 路 由 的 
TERM, 

处 于 VLANIO W REEN K 需要 访问 处 于 
VLAN20 的 服务 器 Y, 首 先 执行 步骤 外 ,VLAN10 的 实验 / 
室 主 机 K 的 数据 帧 进入 交换 机 A 的 fa0/1 端口 ,然后 寻找 | | 
网 关 ,找到 端口 fa0/24; 进入 步骤 四 ,交换 机 fa0/1 收 到 数 i RSS. Be 
据 帧 后 ,根据 目的 MAC 地 址 ,判断 数据 包 必 须 沿 Trunk N oun 
链 路 转发 , 它 会 将 数据 帧 头 添 加 一 个 IEEE 802. 1q 标记 之 图 10-3 单 臂 路 由 
后 从 端口 fa0/24 进入 Trunk 链 路 ,转发 给 路 由 器 子 接口 
fa0/0. 10; BE E AGE EGO) . Fi Has Bez y $1] 12: 29 48 Wi Je: 8 8 CSI] IEEE 802. 1q 标记 , 接 
收 从 VLANIO 的 子 接口 fa0/0. 10 RXR B3 COR B2, » [8]. Ef 3 258 I] 28 EE R 183 20 8 od k ot E 
Ie SE d C d BL. UT DR eL. E xe. ER, 8 VU T 7b UE. BEAR dis Hob d Bb Pr fk H3 
VLANJ20 Ff 2948 toi iis JI EH P HJ IEEE 802. 1q 标记 ,从 和子 接口 fa0/0. 20 发 出 ; 然后 进入 
2p JE 6D ,数据 包 从 子 接口 fa0/0. 20 发 出 进入 Trunk pEi ., SS AR Blum fa0/24; 最 后 进 
APRO ,交换 机 接收 从 路 由 兹 发 送 过 来 的 数据 帆 , 将 IEEE 802. 1q 标记 清除 ,通过 目的 
MAC 地 址 判断 出 数据 帧 需要 通过 VLAN20 的 access 端口 fa0/11 进行 传输 ,这样 数据 帧 又 
以 未 标记 的 以 太 网 数据 帧 形式 转发 给 VLAN20 的 服务 大 了。 

从 上 述 分 析 可 知 ,每 个 子 接 口 基 似 于 一 个 路 由 融 的 物理 接口 ,能够 分 割 广播 域 , 对 应 服 
务 于 一 个 VLAN。 通 过 路 由 更 采用 单 臂 路 由 技术 能 够 实现 VLAN 之 间 的 路 由 。 


3. 单 展 路 由 的 优 缺 后 


单 辟 路 由 技术 具有 如 下 优点 : 

(1) 单 臂 路 由 对 交换 机 的 性 能 要 求 低 ,交换 机 不 需要 文 持 三 层 服务 。 

(2) 实施 商 单 ,在 配置 时 只 需要 配置 一 台 交 换 机 的 Trunk 端口 和 路 由 需 的 子 接口 。 
(3) EH EE HH 82K fa 9$. VLAN 间 数 据 流 量 的 通信 , 排 错 工作 简单 。 
虽然 具有 上 述 优点 ,但 仍然 存在 如 下 缺点 : 

COD 因为 只 采用 一 台 路 由 器 ,可 能 存在 单 点 故障 问题 。 


fa0/24 
人 
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(2) 路 径 单 一 ,容易 造成 拥塞 。 
(3) 数据 由 从 交换 机 发 出 经 过 路 由 天 又 回 到 交换 机 ,路 由 瑚 处 理 数 据 包 是 一 个 一 个 数 
据 包 的 依次 处 理 , 相 对 比较 慢 ,会 产生 一 定 程度 的 时 延 。 


10.2.3 单 绒 路 由 配置 方法 
1. 实验 拓扑 


本 实验 拓扑 图 如 图 10-4 所 示 ,信息 学 院 有 一 人 台 交 换 机 、 一 人 台 路 由 需 和 若干 主机 ,用 两 台 
主机 作为 实验 测试 。 主 机 PC1 和 PC2 分 别处 于 VLAN10 和 VLAN20, 即 faculty 和 
student ,并 与 交换 机 S1 直 连 ,交换 机 S1 与 路 由 顺 RI Hk. 


nA" ; 


一 e C. 
< fa0/24  runk fa0/0 P F 
AMEN 
,fad | / r3 fa0/11 、、 信息 学 院 
/ Í , x 
F x 
Fi w 
2535715 24 172.16.20.2/24 
PCI ,7 \、PC2 | 
" VLANIQ, ^ *VLAN20 / 


图 10-4 单 辟 路 由 基础 实验 


2. 实验 需求 


COD 在 SI 上 创建 两 个 VLAN, 并 将 端口 划分 进 对 应 VLAN, 

(2) 将 SI 5 R1 直 连 的 端口 fa0/24 封装 为 Trunk, 

(3) 在 R1 上 开局 子 接口 ,并 封 闻 dotlQ ,并 配置 IP 地 址 ,作为 对 应 VLAN WAX, 
(4) 测试 PC1 与 PC2 的 连通 性 。 

3. 实验 操作 


CD Æ Sl 创建 并 划分 VLAN. 


Sl(config) # vlan 10 name faculty // 创 建 VLAN10 并 命名 faculty 
Sl(config):it vlan 20 // 创 建 VLAN20 
Sl(config-vlan) # name student // 将 VLAN20 命名 为 students 


Sil(config—vlan)# exit 
Si(config)# int f0/1 


Sl(config-if) # switchport mode access // 将 端口 模式 改 为 访问 模式 
Sl(config-if) # switchport access vlan 10 // 将 该 端口 划分 给 VLAN10 


Sl(config-if) i4 int f0/11 

Sl(config-if) # switchport mode access 

Sl(config-if) # switchport access vlan 20 / FR O Xi ^] 25 VLAN10 
Timers: hello 0, topology change 0, notification 0, aging 300 
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(2) 将 交换 机 与 RI BB L3] 7J Trunk. 


Sl(config) # int f0/24 
Sl(config-if) 1 switch trunk encap dotlq / /设置 Trunk 封装 为 IEEE 802. 1q 
Sl(config-if) it switch mode trunk / [V Ei O y Trunk 模式 


(3) Æ R1 上 配置 子 接口 ,并 封装 dotlQ, 


Rl(config)it int fa0/0 
Rl(config- if) 4 no shutdown 
Ri (config) # int fa0/0.10 


Rl(config-subif) # encapture dotlq 10 // 定 义 该 子 接口 承载 VLAN10 的 流量 

R1 (config-subif)it ip address 172. 16. 10. 254 255.255.255.0 // 配 置 IP 地 址 ,作为 VLAN10 主机 的 
// 网 关 

Rl1(config)# int g0/0.20 

Ril(config-subif) # encapture dotiq 20 // 定 义 该 子 接口 承载 VLAN2O 的 流量 

R1 (config- subif) # ip address 172. 16. 20. 254 255.255.255.0 // 配 置 IP 地 址 ,作为 VLAN20 主机 的 
// 网 关 


(4) 测试 不 同 VLAN 间 PC 的 连通 性 。 
在 PC1 和 PC2 上 配置 IP 地 址 和 默认 网 关 ,PC1 的 默认 网 关 指 向 172. 16. 10. 254; PC2 
的 默认 网 关 指 向 172. 16. 20. 254。 然 后 ,测试 PCI 和 PC2 的 通信 。 


4. HET S ER 


在 配置 单 臂 路 由 实现 VLAN 间 路 由 时 ,如果 发 生 钳 误 , 则 可 以 考虑 以 下 一 些 排 错 思路: 

(1) 交换 机 中 是 否 存在 需要 创建 而 未 创建 的 VLAN? 

(2) Trunk 和 access 跨 口 是 否 配置 正确 ,是 否 放 行 该 VLAN? 

(3) 路 由 带 物 理 接口 是 否 no shutdown? 

(4) fit n d Be O 2e f f| IEEE 802. 1q 和 相应 VLAN 封 狗 一 致 ,并 配置 正确 的 网 关 
He hk PIT W IE? 

(5) 主机 配置 的 IP Hb htm AR Iw. AKE I] — T pj ? 


10.3 三 层 交 换 技 术 


10.3.1 三 层 交 换 技 术 原 理 


虽然 单 臂 路 由 能 实现 VLAN 半路 由 ,但 是 路 由 套 对 收 到 的 每 个 数据 包 都 要 经 过 拆 包 、 
查 表 、 重 新 封装 、 转 发 四 个 过 程 , 其 数据 转发 速率 较 慢 ,不 能 满足 主干 网 络 超 高 速 交 换 的 需 
求 , 而 来 用 三 层 及 以 上 交换 机 的 三 层 快速 交换 技术 能 够 大 幅 提 高 数据 交换 速率 。 

1. 三 层 交 换 技术 原理 

三 层 及 以 上 交换 机 通过 使 用 集成 的 第 三 层 模 块 或 附属 卡 , 可 以 实现 VLAN 间 路 由 选 
择 , 同 时 可 以 直接 访问 背 板 带宽 ,大 大 提高 了 交换 速率 。 路 由 功能 被 高 度 集 成 到 交换 机 的 超 
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大 规模 集成 电路 中 ,使 得 高 速 路 由 选择 特性 更 容易 实现 。 

如 8. 2. 3 节 所 述 ,三 层 交 换 技 术 的 实质 是 “三 层 路 由 转发 十 二 层 快速 交换 ”, 对 收 到 的 数 
据 订 用 一 次 路 由 、 多 次 交换 的 方式 实现 快速 交换 。 

H TEM VLAN 则 的 路 由 ,交换 机 必须 使 用 第 三 层 地 址 来 完成 ,这 就 需要 第 三 层 接 口 
的 文 持 。 在 多 层 交 换 机 中 , 文 持 如 下 多 种 不 同类 型 的 种 三 层 接口 : 

(1) 路 由 接口 。 路 由 接口 是 一 种 物理 接口 , 它 关 似 于 普通 的 路 由 天 上 配置 了 网 络 层 IP 
地 址 的 接口 ,不 同 之 处 在 于 它 不 能 像 路 由 希 那 样 文 持 子 接口 配置 。 路 由 接口 用 于 点 对 点 链 
路 ,路 申 接口 的 典型 应 用 是 连接 WAN 路 由 硕 和 安全 设备 。 

(2) 交换 虚拟 接口 (Switch Virtual Interface. SVD. 。SVI 是 一 种 第 三 层 接 口 ,是 逻辑 接 
口 ,是 一 种 与 VLAN ID 相关 联 的 虚拟 VLAN 接口 ,其 目的 在 于 启用 该 VLAN 上 的 路 由 选 
择 能 力 ,为 在 多 层 交 换 机 上 完成 VLAN 则 路 由 选择 而 配置 的 接口 。 

(3) 二 层 Etherchannel 接口 Etherchannel 4x 7k n] LJ HA ZB In] 25 789 H5 Az d Lom O . TE 
二 层 设 备 上 ,Etherchannel 可 以 汇聚 access Ym O A Trunk 端口 ,每 个 Etherchannel 链 路 都 
可 以 看 作 一 条 逻辑 的 链 路 ,其 市 宽 是 捆绑 所 有 物理 链 路 的 总 和 。 例 如 拥 绑 4 条 1000Mb/s 
链 路 成 Etherchannel 后 ,相当 于 配置 了 一 条 4000Mbys R32 $H SE iE, 

(4) 三 层 Etherchannel 接口 。 三 层 Etherchannel 接口 在 二 层 的 基础 上 ,可 以 捆绑 路 由 
接口 。 


2. 三 层 交 换 技术 的 优 缺 点 


使 用 SVI 实现 VLAN 间 路 由 具有 如 下 优点 : 

(1) 三 层 交 换 机 采用 超大 规模 集成 电路 ,基于 人 硬件 实现 三 层 转发 和 二 层 交 换 , 转 发 速率 
远 远 超过 路 由 带 , 所 有 数据 部 由 便 件 进行 转发 处 理 。 

(2) 下 接 在 交换 机 痛 板 市 宽广 持 下 进行 数据 处 理 , 不 需要 使 用 交换 机 与 路 由 带 的 外 部 
链 路 进行 路 由 ,大幅 减少 数据 转发 时 的 时 延 。 

(3) 交换 机 之 间 可 以 使 用 Etherchannel 链 路 聚合 进行 带宽 羞 加 ,进一步 提高 数据 转发 速率 。 

除了 上 述 优点 之 外 ,其 缺点 主要 表现 在 成 本 方面 , 因 三 层 交 换 技 术 必 须 使 用 三 层 及 以 上 
交换机 来 执行 ,价格 相对 比较 易 贯 。 


10.3.2 三 层 交 换 技 术 的 配置 方法 
1. 实验 拓扑 


本 实验 拓扑 图 如 图 10-5 所 示 , 信 息 学 院 的 实验 中 心 有 一 台 三 层 交 换 机 ,创建 两 个 
VLAN: faculty 和 student, EHL PC1 和 主机 PC2 分 别 与 三 层 交 换 机 Sl 直 连 并 处 于 不 同 的 
VLAN 中 。 


2. 实验 需求 


(OD Æ S1 上 创建 VLAN ,并 将 合适 的 端口 划分 给 相应 的 VLAN。 
(2) 在 S1 上 开启 路 由 功能 ,启用 SVI 接口 并 配置 IP 地 址 ,作为 对 应 YLAN 所 属 主 机 
的 网 关 。 
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PCI , 
VVLANIO -一 ~~ . VLAN20, 


图 10-5 三 层 交 换 技 术 实 现 VLAN 间 路 由 
3. 实验 操作 
OD S1 创建 并 划分 VLAN. 


Sli (config) 井 vlanl0 name faculty // 创 建 VLAN10 并 命名 faculty 
Sl(config) # vlan20 / /创建 VLAN20 
Sl(config-vlan) # name student //*à VLAN20 命名 为 students 


Sl(config-vlan)idt exit 

Sl(config):it int f0/1 

Sl(config-if) i: switchport mode access 
Sl(config-if) i$ switchport access vlanl0 
Sl(config- if) int f0/11 

Sl(config-if) it switchport mode access 


Sl(config- if) # switchport access vlan20 


(2) Sl 开启 路 由 功能 ,开启 SVI 接 口 并 配置 IP 地 址 。 


Sl(config)it ip routing // 在 全 局 模式 开局 51 的 路 由 功能 。 
Sl(config)it int vlanl0 
Sl(config-if) i$ no shutdown / / 3X ^]- RJ ELA FH Bi C, ME UL O ETAT Ji 


Sl(config-if) it ip address 172.16.10.254 255.255.255.0 

Sl(config)it int vlan20 

Sl(config-if) 4 ip address 172.16.20.254 255.255.255.0 

// 在 VLAN 接口 上 配置 IP 地 址 , VLAN10 接口 的 全 地 址 就 作为 VLAN10 中 所 属 PC 的 轩 认 网 关 了 ,VLRN20 
// 接 口上 的 IP 地 址 就 是 VLaN20 中 所 属 PC 的 默认 网 关 


4. 实验 结果 分 析 
CD 观察 SI 上 的 路 由 表 。 


Sl# show ip route 

172.16.0.0/24 is subnetted, 2 subnets 

C 172.16.10.0 is directly connected, VLAN10 

C 172.16.20.0 is directly connected, VLAN20 
//S1 的 路 由 表 中 ,包含 了 VLAN10 和 VLAN20 的 网 段 


(2) 测试 PC1 和 PC2 间 的 通信 。 
在 主机 PC1 和 PC2 上 配置 IP 地 址 和 默认 网 关 ,PC1 的 默认 网 关 指 向 172. 16. 10. 254. PC2 
的 默认 网 关 指 向 172. 16. 20. 254。 然 后 ,测试 PCI 和 PC2 的 通信 。 
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5. 排 销 思路 


在 配置 三 层 交 换 技 术 实 现 VLAN 间 路 由 时 ,如 桌 发 生 错 误 , 则 考虑 如 下 几 个 方面 : 

(OD 如 果 有 多 台 交 换 机 ,每 台 交 换 机 中 的 VLAN 是 否 同 步 ? 这 些 VLAN 是 否 均 活跃 ? 
(2) 三 层 交 换 机 是 否 开 局 路 由 功能 ? 

(3) SVI 接 口 是 否 shutdown? 

(4) 连接 主机 的 端口 是 否 正 确 划分 进 某 个 VLAN? 

(5) SVI 接口 的 IP 地 址 和 子 网 掩 码 是 否 与 主机 在 同一 网 段 ? 

(6) 主机 默认 网 关 是 否 设置 正 确 ? 


40.4 实战 演练 


e 


10.4.1 $B BE KAR E 
1. 实战 拓扑 


本 实战 拓扑 图 如 图 10-6 所 示 ,计算 机 学 院 和 信息 学 院 各 有 一 人 台 路 由 天 和 一 台 交 换 机 ， 
每 个 学 院 各 拿 两 台 主 机 做 测试 ,并 分 别处 于 不 同 的 VLAN 中 ,主机 PCl 和 主机 PC2 分 别 与 
交换 机 S3560 连接 ,主机 PC3 和 主机 PC4 分 别 与 交换 机 S2960 连接 ,两 台 路 由 天 之 间 通 过 
串 行 接口 连接 ,组 成 网 络 ,准备 共享 学 院 资 源 。 
12.12.12.1 12.12.12.2 


T " E SO/0/1 S0/2/1 m 
计算 机 学 院 EET m s 


fa0/0.20 fa0/1.30 
192.168.20.254 192.168.30.254 


fa0/0.10 
192.168.10.254 


fa0/1.40 
192.168.40.254 


fa0/1 


83560 


fa0/20 


fa0/10 


FECI PC2 PC3 PC4 
VLANIO VLAN20 VLAN30O VLANAO 
192.168.10.10/24 192.168.20.20/24 192.168.30.30/24 192.168.40.40/24 


图 10-6 单 辟 路 由 实战 拓扑 图 
2. 实战 需求 


为 了 实现 计算 机 学 院 和 信息 学 院 的 主机 能 相互 ping 通 , 实 验 过 程 如 下 : 
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(OD 交换 机 : 删除 以 往 的 配置 。 

(2) 交换 机 : 创建 YLAN ,给 端口 分 配 VLAN ,设置 Trunk 端口 。 

(3) HAA: 开局 与 交换 机 相连 的 接口 ,进入 子 接口 ,设置 对 应 VLAN 的 封 痛 模式, 设 
置 子 接口 IP 地 址 。 

(4) 测试 : 每 个 学 院 的 PC ping 通 自 己 的 网 关 。 

(5) BHA: 开启 串口 ,设置 接口 IP 地 址 ,配置 路 由 协议 。 

(6) 测试 : PC 测试 全 网 ping 通 。 

基本 配置 注意 事项 : 

(1) 每 次 交换 机 开始 实验 前 要 清除 残留 配置 ,reload 后 以 show flash: 方式 查看 是 否 删 
RPF. 

(2) ER HH AE JF Ja TH X HJ Sz E. 245 P HH 88 18] AY t ET. F Be oO T 85 9] E Sz oO no 
shutdown ,物理 接口 不 用 配置 IP 地 址 ,在 子 接 口上 配置 IP 地 址 。 

(3) 每 一 步 执行 完 后 ,最 好 用 show 操作 进行 查看 ,发现 问 题 及 时 处 理 。 

(4) 在 执行 这 些 命令 之 前 ,每 一 台 交 换 机 和 路 由 器 都 要 确认 它们 支持 的 VLAN 封装 。 
为 了 正确 地 完成 VLAN 间 路 由 ,所 有 的 路 由 器 和 交换 机 必须 支持 相同 的 封装 。 

10.4.2 三 层 交 换 技 术 实 战 演练 

1. 实战 拓扑 

本 实战 拓扑 图 如 图 10-7 所 示 ,计算 机 学 院 的 有 三 人 台 交 换 机 ,其 中 ,计算 机 系 的 交换 机 A 
为 Catalyst 3560 ,为 VTP IRA AFAA; 实验 中 心 交 换 机 B 为 Catalyst 3560, 工 程 中 心 交 换 
机 C X Catalyst 2960 ,它们 同 为 VTP 客户 端 模式 。 

VTP client VTP client 


一 


—Ó 
x Catalyst 2960 
È 


VA 工程 中 心 


TREE". 
Catalyst 3560 VTP server 
计算 机 系 
图 10-7 =E VLAN 间 路 由 拓扑 图 


2. 实战 需求 

CD 在 计算 机 系 的 Catalyst 3560 上 创建 VLAN40 和 VLAN50, 并 把 f0/1~f0/9 分 配 
给 VLAN40 ,把 f0/10— 10/20 分 配给 VLAN50。 

(2) 在 计算 机 系 的 Catalyst 3560 上 局 用 路 由 功能 。 

(3) 在 计算 机 系 的 Catalyst 3560 上 配置 虚拟 VLAN 接口 的 IP 地址 : VLAN40 为 192. 
168. 40. 254/2; VLAN50 Æ 192. 168. 50. 254/24, 

(4) 实验 中 心 和 工程 中 心 交 换 机 同步 计算 机 系 交 换 机 Catalyst 3560 所 创建 的 VLAN., 
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(5) 实验 中 心 和 工程 中 心 的 交换 机 的 f0/1~f0/5 分 配给 VLAN40, 把 f0/10— 10/15 分 
配给 VLAN50。 在 VLAN40 和 VLAN50 的 主机 上 设置 正确 的 网 关 ,测试 全 网 VLAN 主机 
之 回 的 连通 性 。 

3. 基本 配置 注意 事项 

必须 将 所 有 交换 机 上 的 原 有 配置 删除 和 重新 启动 。 

10.4.3 VLAN 间 路 由 综合 实战 演练 

1. 实战 拓扑 


本 实战 拓扑 图 如 图 10-8 所 示 ,计算 机 学 院 和 信息 学 院 各 有 一 人 台 路 由 硕 , 分 别 为 R1 和 
R2; 计算 机 学 院 有 一 全 交换 机 S3 ,信息 学 院 有 两 台 交 换 机 SI 和 S2; 每 个 学 院 各 拿 两 台 主 
机 用 作 测 试 。 其 中 ,交换 机 Sl 和 交换 机 S2 均 为 三 层 交 换 机 Catalyst 3560 ,交换 机 S3 为 二 
层 交 换 机 Catalyst 2960; 路 由 器 R1 和 路 由 器 R2 之 间 通 过 串 行 接口 连接 ,构成 一 个 网 络 共 


享 学 院 资源 。 
~、.192.168.122 — M $VI:192.168.30.254  SVI:192.168.40.254 
=—、 192.168.23.1 = 1 
fa0/0 (40/2 damp 
En 192.168.23.2 


fa0/2 
fa0/3 192.168.34.1 DM 


fa0/7 N : 
< 一 


| 

X 

A 
”计算 机 学 院 o “信息 学 院 
a0/6 


| VLANS30 VLAN40 
| 192.168.30.1 192.168.40.1 
| 


192.168.10.1 192.168.20.1 
图 10-8 VLAN 间 路 由 综合 实验 折 扑 图 
2. 实战 需求 
(1) 在 两 个 和 尝 院 的 三 
VLAN 中 ， 


(2) 计算 机 学 院 路 由 器 R1 作为 单 臂 路 由 ,封装 子 接口 作为 PCI 和 PC2 的 网 关 , 测 试 
PC1 和 PC2 能 否 互通 。 

(3) 信息 学 院 的 两 台 交 换 机 S1.S2 开局 路 由 功能 ,并 分 别 设 置 SVI 接口 ,分 别 作 为 PC3 
和 PC4 的 网 关 , 测 试 各 日 能 否 ping 通 网 关 。 

CD 将 信息 学 院 交 换 机 SI 的 fa0/1 和 fa0/2, 以 及 S2 的 fa0/2 这 三 个 端口 关闭 交换 功 
能 , 变 为 可 路 由 端口 , 按 拓扑 要 求 配置 IP 地 址 ,测试 直 连 链 路 连通 性 。 

(5) f£ RI, R2,S1,S2 这 四 台 设 备 上 启用 路 由 协议 ,实现 PCI,PC2,PC3,PCA 全 网 可 达 。 


台 交 换 机 S1、S2、S3 上 创建 图 中 VLAN, 并 把 对 应 端口 划分 进 
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1. VLAN 间 路 由 的 本 质 是 什么 ? 为 什么 需要 VLAN 间 路 由 ? VLAN 间 路 由 和 普通 
的 路 由 有 什么 异同 之 处 ? 

2. 你 知道 有 哪些 方式 可 以 实现 VLAN 间 路 由 ? 各 日 的 工作 原理 是 什么 ? 如 何 配 置 ? 
如 果 要 对 它们 进行 系统 的 分 析 和 比较 ,可 以 从 哪些 方面 厦 手 ? 

3. 三 层 以 上 交换 机 的 端口 关闭 交换 功能 后 , 变 为 普通 可 路 由 端口 ,可 以 配置 IP 地 址 ， 
可 以 连接 路 由 冀 接 口 , 并 配置 路 由 协议 。 如 果 关 闭 交 换 功 能 的 三 层 交 换 机 靖 口 ,在 效 据 包 路 
由 过 程 中 ,人 处理 数 据 包 的 方式 和 踏 由 冀 处 理 数 据 包 的 方式 有 何 异 同 ? 

4. 如 果 请 你 来 负 贡 校园 网 的 规划 与 设计 ,你 会 选择 哪 种 VLAN 间 路 由 技术 ? 你 是 从 
哪些 方面 考虑 的 ? 


访问 控 制 列表 与 配置 方法 | 


校园 网 或 园区 网 具有 规模 大 .用 户 密 集 每 特点 ,容易 性 致 高 峰 时 段 网 络 流量 剧 增 ; 另 一 
方面 ,用 户 类 型 较 多 ,不 同类 型 应 该 有 不 同 的 网 络 访 问 权 限 , 为 了 对 网 络 流量 和 用 户 权 限 实 
施 有 效 控制 ,需要 对 访问 控制 技术 ,访问 控制 列表 实施 访问 控制 。 本 章 首 先 介绍 为 什么 需要 
访问 控制 以 及 什么 是 访问 控制 ,然后 分 别 介 绍 标准 访问 控制 列表 、 扩 展 访问 控制 列表 和 命名 
访问 控制 列表 的 工作 原理 与 配置 方法 ,最 后 给 出 实战 演练 项 目 。 


11.1 为 什么 需要 访问 控制 列表 
访问 控制 技术 能 让 网 络 流量 规范 有 序 、 让 用 户 拥 有 合适 的 权限 ,本 市 主要 介绍 在 现代 校园 
网 或 园区 网 中 为 何 需要 访问 控制 列表 (Access Control List. ACD? ,以 及 ACL 相关 概念 本 二。 


11.1.1 ACL 之 问 


A a 当 人 们 进入 高 铁 候 车 室 . 进 入 地 铁 站 乘 车 或 进入 机 
场 候 机 楼 时 者 需要 经 过 安检 。 安 检 的 过 程 是 扫 摘 我 们 随身 物品 和 行李 ,目的 是 允许 正 首 物 
品 通过 ,并 严格 禁止 违规 物品 进入 高 铁 . 地 铁 . 飞 机 等 安全 区 ， 那么 ,在 实际 网 络 中 是 什么 样 
的 情况 呢 ? 

我 们 的 校园 网 或 园区 网 络 相 当 于 网 络 的 安全 区 ,外 部 数据 流量 进入 校园 网 或 园区 网 内 
部 时 ,应 该 在 网 络 边界 进行 安全 检查 。 那 么 ,什么 技术 能 实现 安检 这 样 的 功能 呢 ? 在 校园 网 
或 园区 网 络 内 部 , 随 着 用 户主 机 数量 的 增长 ,整个 网 络 的 通信 流量 也 随 之 以 较 快 的 速度 增 
长 ,尤其 是 中 午 .晚上 等 上 网 高 峰 时 段 。 这 时 ,迫切 需要 一 种 有 效 机 制 对 网 络 流量 实施 控制 - 
阻止 或 过 滤 某 些 病 毒 或 无 效 访 问 , 让 有 效 访问 顺利 通过 网 络 实现 快速 转发 。 那 么 ,到 底 什么 
机 制 能 够 实现 对 网 络 流量 的 访问 控制 呢 ? 

在 学 校 , 老 师 在 上 实验 课时 ,偶尔 有 学 生 在 课堂 上 玩 手机 、 刷 微 信 ,、 玩 游戏 、 看 视频 等 , 影 
啊 课 堂 秩序 和 老师 讲课 。 另 外 ,在 工作 时 间 员 工 上 公共 聊天 软件 、 玩 网 络 游戏 等 情况 也 时 有 
发 生 。 有 没有 一 种 方法 能 够 对 校园 网 或 企业 网 络 内 部 用 户 的 某 些 访问 行为 实施 有 效 控 制 
呢 ? 例如 不 允许 学 生 上 课时 间 上 网 .不 允许 员工 上 班 时 间 上 公共 聊天 软件 等 。 

我 们 再 看 另外 一 个 实例 。 

校园 网 有 丰 宣 的 网 络 资源 ,如 图 书馆 电子 数据 库 集群 .教学 资源 、 各 类 学 习 系 统 、 科 人 研 项 
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目 、 财 务 系统 等 ; 用 户 类 型 也 非常 多 ,有 网络 管理 员 老师 .和 学生、 行政 领导 、 一 般 管 理 人 员 
等 。 园 区 网 或 企业 网 等 都 有 很 多 的 资源 和 用 户 类 型 。 因 此 ,应 该 为 不 同 的 用 户 群 体 设置 不 
同 的 访问 权限 。 那 么 ,有 没有 一 种 有 效 机 制 ,能够 规范 职权 关系 ,实现 有 订 网 络 访问 呢 ? 

上 述 问题 ,都 可 以 采用 访问 控制 拉 术 来 解决 。 通 过 访问 控制 列表 执行 访问 控制 ,通过 
ACL 定义 相应 的 规则 ,这 些 规则 允许 哪些 数据 通过 ,或 者 茶 止 哪些 数据 通过 。 在 路 由 带 的 
接口 或 交换 机 的 端口 上 根据 ACL 规则 允许 /拒绝 相应 的 数据 包 通 过 从 而 达到 访问 控制 的 
目的 。 它 能 够 实现 对 内 部 网 络 流量 的 控制 党 理 , 对 用 户 访 问 行为 和 访问 权限 的 控制 ; 还 可 
以 对 网 络 外 部 的 恶意 数据 流 进 行 隔离 ,阻止 一 部 分 外 网 的 病毒 攻击 内 网 ,从 而 达到 基本 的 网 
络 访问 安全 。 


11.1.2 ACL 术语 


ACL 包含 如 下 概念 和 术语 : 

(OD 访问 控制 列表 。ACL 定义 一 系列 访问 控制 规则 ,允许 或 拒绝 哪些 类 型 的 数据 包 ， 
并 将 这 些 规则 应 用 在 路 由 器 接口 或 交换 机 端口 ,用 来 控制 接口 或 端口 进出 的 数据 包 。ACL 
能 够 适用 于 所 有 的 被 动 路 由 协议 ,如 IP、IPX、AppleTalk 等 。 

(2) 标准 访问 控制 列表 。 标 准 ACL 仅 将 数据 包 的 源 IP 地 址 用 作 判 定 和 条件, 所 有 的 诀 
策 都 是 根据 源 IP 地 址 做 出 的 ,这 就 意味 看 标准 ACL 要 么 允许 .要 人 么 拒绝 整个 协议 族 ,它们 
不 区 分 IP 数据 流 类 型 (如 Web .Telnet UDP 等 ) 。 

(3) 扩展 访问 控制 列表 。 扩 展 ACL 除了 数据 包 的 源 IP 地 址 之 外 ,还 能 检查 第 3 层 IP 
数据 包 和 第 4 层 报 文中 的 众多 其 他 字段 ,例如 目标 IP 地 址 ,网络 层 报 文 的 协议 字段 ,传输 层 
报头 中 的 端口 号 等 。 这 些 特征 能 够 让 扩展 ACL 做 出 更 细致 的 数据 流 控制 决策 和 用 户 的 权 
限 设置 。 

(4) 命名 访问 控制 列表 。 命 名 ACL 并 非 一 种 新 的 访问 控制 列表 , 它 要 人 么 是 标准 的 ,要 
么 是 扩展 的 。 之 所 以 单独 列 出 来 ,是 因为 命名 ACL 的 创建 和 引用 方式 不 同 于 普通 的 标准 
ACL 和 扩展 ACL ,另外 ,命名 ACL 支持 对 访问 条 目的 修改 ,而 标准 ACL 和 扩展 ACL 不 文 
持 对 访问 条 目的 修改 。 

(5) 入 站 访问 控制 列表 。 将 ACL 应 用 于 入 站 接口 ,将 根据 ACL 对 这 些 数 据 包 进行 处 
理 ,然后 册 路 由 到 出 站 接口 ; 遭 到 拒绝 的 数据 包 不 会 被 路 由 ,因为 在 调用 路 由 选择 进程 前 ， 
它们 已 被 ACL Z3£. 

(6) 出 站 访问 控制 列表 。 将 ACL 应 用 于 出 站 接口 ,数据 包 首 先 锌 路 由 到 出 站 接口 , 然 
后 在 出 站 前 将 数据 包 根 据 ACL 定义 的 规则 进行 处 理 。 

(7) 人 站 数据 流 。 相 对 于 网 络 设备 的 接口 来 说 ,从 网 络 上 流入 该 接口 的 数据 包 。 

(8) 出 站 数据 流 。 同 样 相 对 于 网 络 设备 的 接口 而 言 , 从 该 接口 流出 到 网 络 的 数据 包 。 

(9) 虚拟 终端 (Virtual Teletype Terminal. VTYO, VTY 是 一 种 网 络 设备 的 远程 连接 
方式 ,一般 在 电信 运营 商 的 网 络 设备 维护 领域 应 用 广泛 。 如 路 由 兹 或 者 交换 机 远程 登录 的 
虚拟 端口 。 
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11.2 ACL 技术 


访问 控制 列表 (ACL) 是 一 种 “多 才 多 艺 ” 的 网 络 工 具 , 因 此 ,在 网 络 管理 中 正确 配置 
ACL 至 关 重 要 。ACL 让 网 络 管理 员 能 够 更 好 地 控制 数据 流 在 整个 网 络 中 的 传输 ,从 而 极 
大 地 改善 网 络 的 运行 速率 。 通 过 使 用 ACL ,管理 员 可 收集 数据 包 传 输 方面 的 基本 统计 数 
据 ,确定 要 实现 的 安全 策略 ; 还 可 以 保护 敏感 设备 ,防范 未 经 授权 的 访问 。 一 般 大 中 校园 网 
络 是 来 用 外 部 中 由、 内 部 路 由 和 防火 墙 的 联合 配置 来 实现 各 种 安全 策略 ,其 中 内 部 路 由 是 通 
过 ACL 对 前 往 校 园 网 络 中 受 体 护 的 数据 滨 进 行 过 涯 的 。 


11.2.1 ACL 概述 


ACL Zi — HRES s" Dr Hie t H EANO E «f HH BLISETE CR , E r HH 88 E. 
读 取 OSI 七 层 模 型 的 第 三 层 和 第 四 层 数 据 包 头 中 的 信息 。 如 源 IP 地 址 .目标 IP 地 址 、 源 端 
口号 .目标 奖 口号 ` 所 使 用 的 协议 关 型 等 ,根据 预先 定义 好 的 规则 ,对 数据 包 进 行 过 滤 , 从 而 
达到 访问 控制 的 目的 。 该 拉 术 初期 仅 在 路 由 天 上 部 普 与 实施 , 近 些 年 来 已 经 三 这 应 用 到 三 
层 交 换 机 和 部 分 最 新 的 二 层 交 换 机 上 。 


1. ACL 数据 包 过 滤 方 向 


在 把 ACL 应 用 到 路 由 旨 的 接口 后 ,还 要 定义 数据 包 过 小 的 方 品 ,如 图 11-1 所 示 。 
Inbound a> Outbound (D Inbound ACL: 先 处 理 ACL 后 执行 路 由 。 入 站 
— TN ACL 将 ACL 应 用 于 入 站 接口 , 当 数 据 包 人 站 时 ,将 根据 
图 11-1 ACL 数据 包 过 滤 方 向 ”ACL 对 这 些 数据 包 进 行 处 理 , 然 后 再 经 过 路 由 过 程 ( 拆 包 、 
查 表 重新 封 闻 、 转 发 ) 到 出 站 接口 。 遭 到 拒绝 的 数据 包 不 
会 被 执行 路 由 ,因为 在 调用 路 由 选择 进程 前 ,它们 已 被 丢 芥 。 
(2) Outbound ACL: 先 执行 路 由 再 处 理 ACL。 出 站 ACL 将 ACL 应 用 于 出 站 接口 , 数 
据 包 首先 执行 路 由 过 程 , 被 路 由 到 出 站 接口 后 ,再 将 数据 包 排 队 并 根据 ACL 进行 处 理 。 


2. ACL 的 作用 


ACL 具有 如 下 重要 作用 : 

(1) 限制 网 络 流 量 .提高 网 络 性 能 。 

(2) 提供 对 不 同 用 户 访 问 权 限 的 控制 手段 。 

(3) 于 弃 具 有 某 些 特征 的 恶意 数据 包 , 提 供 网 络 访问 的 基本 安全 手段 。 

(4) 在 踏 由 兹 接口 处 ,决定 哪 种 类 型 的 数据 流量 被 转发 、 哪 种 类 型 的 数据 流量 被 阻 徐 。 


3. ACL 表 号 范围 


ACL 通过 表 号 的 取 值 范围 来 识别 ACL 类 型 ,如 表 11-1 所 示 。 标 准 ACL 的 表 号 范 轩 
为 1 一 99 ,扩展 ACL 的 表 号 范围 为 100—199, 
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X 11-1 ACL 表 号 


协议 (Protocol) ACL 表 号 的 取 值 范围 (ACL Range? 
Standard IP( 标 准 ACL) 17-99 
Extended IPC E ACL) 1007-199 
AppleTalk 600—699 
IPX( 互 联网 数据 包 交 换 ) 800 一 899 
Extended IPX( 扩 展 互 联网 数据 包 交 换 ) 900—999 
IPX Service Advertising ProtocolCIPX 服务 通告 协议 ) 1000-1099 


4. 常用 协议 的 端口 号 


下 面 给 出 ACL 应 用 中 ,第 用 协议 的 疹 口 号 ,如 表 11-2 所 示 。 
表 11-2 常用 协议 端口 号 


im O S (Port Number) p i 
20 文件 传输 协议 (FTP) 数 据 
21 文件 传输 协议 (FTP) 程 序 
23 Ue FE% R (Telnet) 
25 简单 邮件 传输 协议 (SMTP) 
69 简单 文件 传输 协议 (TFTP) 
80 超 文 本 传输 协议 (HTTP) 
53 域名 服务 系统 (DNS) 


11.2.2 ACL 工作 原理 


下 面 以 出 站 ACL 为 例 , 说 明 ACL 的 工作 原理 。 如 图 11-2 所 示 ,数据 包 进 入 到 路 由 怖 
接口 S0/2/1 后 ,路 由 屁 先 对 数据 包 进 行 处 理 , 首 先 经 过 “ 拆 包 ”, 接 着 “ 查 表 ”, 查 看 路 由 表 看 
是 否 存 在 到 达 目 标 网 络 的 路 由 ,如 果 有 就 选择 合适 的 能 够 到 达 下 一 跳 的 本 地 出 接口 ,如 S0/ 
0/0 接口 ; 然后 ,在 该 端口 上 再 检查 是 否 应 用 ACL ,如 果 没 有 应 用 ACL, 则 直接 到 达 路 由 吉 
接口 S0/0/0, 然 后 进行 重新 封装 ,由 转 发 ; 如 果 有 配置 ACL 就 查看 ACL 表 项 ,从 上 至 下 一 
条 一 条 进行 匹配 ,如 果 有 匹配 的 表 项 , 则 立即 停止 不 再 查看 其 他 表 项 ,匹配 的 表 项 中 如 果 允 
许 通过 , 则 数据 包 到 达 路 由 器 接口 S0/0/0, 然 后 进行 重新 封装 ,上 由 转发 ; 如 果 匹 配 的 表 项 拒 
绝 数据 包 通 过 , 则 丢弃 该 数据 包 ,并 且 以 ICMP 信息 通知 源 发 送 方 。 


11.2.3 ACL 使 用 原则 


ACL 在 执行 过 程 中 ,包含 如 下 使 用 原则 : 

(D 在 ACL 条 目 中 ,一 切 未 被 明确 允许 的 就 是 禁止 的 。 

在 Cisco 路 由 、 交 换 设 备 中 ,默认 情况 下 ,在 所 配置 的 ACL 规则 条 目的 最 后 ,都 加 入 一 
个 条 目 deny any any, 也 就 是 丢弃 所 有 不 符合 条 件 的 数据 包 。 因 此 ,在 ACL 里 至 少 要 有 一 
条 permit 条 目 , 如 果 ACL 的 规则 条 目 都 是 deny, 那 么 加 上 最 后 隐 含 的 deny any any., iX £2 
口 将 会 拒绝 所 有 流 经 该 接口 的 数据 。 这 一 点 要 特别 注意 ,虽然 可 以 修改 这 个 默认 值 ,但 未 改 
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Ne 


选择 出 口 S0/0/0 
50/0/0 


S0/2/] 


50/0/0 


以 ICMP 信 息 通 知 头 发 送 方 
图 11-2 ACL 工作 原理 


前 一 定 要 引起 重视 ,在 配置 ACL 条 目 时 ,至 少 要 有 一 条 是 被 允许 的 。 

(2) 按 网 络 管理 员 配 置 的 规则 链 进行 匹配 。 

在 执行 ACL 每 条 规则 条 目 过 程 中 ,严格 按照 网 络 管理 员 配 置 的 规则 链 顺序 进行 匹配 ， 
检查 每 条 规则 所 使 用 的 源 地 址 .目的 地 址 . 源 端口 号 、 目 的 端口 号 .所 采用 协议 .时 间 段 等 进 
行 严格 匹配 。 

(3) 从 头 到 尾 , 自 顶 向 下 的 匹配 方式 ,匹配 成 功 马上 停止 。 

根据 ACL 工作 原理 , 当 网 络 管理 员 配 置 了 多 条 ACL 规则 条 目 时 ,总 是 按 ACL 条 目的 
顺序 ,采用 从 头 到 尾 , 目 顶 回 下 的 匹配 方式 , 先 比 较 第 一 行 , 再 比较 第 二 行 、 第 三 行 , 直 到 最 后 
一 行 。 一 旦 发 现 有 规则 条 目 匹 配 成 功 , 就 结束 比较 过 程 ,不 青 检查 后 面 的 其 他 规则 或 条 件 判 
Wr inn). 

(4) 立刻 使 用 该 规则 的 “人 允许、 拒绝 ……”。 

当 发 现 有 成 功 匹 配 的 ACL 规则 时 ,立即 使 用 该 规则 定义 的 动作 ,要 么 允许 数据 包 通 
过 ,要 么 拒绝 数据 包 通 过 。 

(5) 创建 好 ACL 后 ,要 应 用 在 需要 过 滤 的 路 由 需 接 口 或 交换 机 端口 上 ,并 指明 方向 。 
ACL 主要 用 于 过 滤 经 过 路 由 兹 或 交换 机 的 数据 包 , 它 并 不 会 过 滤 路 由 问 或 交换 机 本 对 所 产 
生 的 路 由 协议 或 交换 协议 相关 的 数据 包 。 

(6) 对 于 每 个 接口 .每 个 方 品 、 每 种 协议 ,只 能 设置 一 条 ACL 条 目 。 

C) 在 设置 标准 ACL 时 ,放置 在 尽 可 能 徘 近 目 标 网 络 的 接口 ,这 样 不 会 影响 被 ACL 控 
制 的 网 络 或 主机 访问 其 他 子 网 ,不 会 放大 ACL 控制 的 需求 ; 在 设置 扩展 ACL 时 ,放置 在 尽 
可 能 靠近 源 端 网 络 的 接口 ,这样 的 好 处 是 从 源 端 阻止 无 效 数据 包 流 经 网 络 , 从 而 净化 网 络 有 
效 带 宽 , 提 高 网 络 整 体 性 能 。 

(8) 不 能 从 标准 ACL 或 扩展 ACL 中 的 任何 位 置 删除 一 行规 则 条 目 , 这 将 导致 删除 整 
个 ACL; 如 果 要 在 标准 ACL 或 扩展 ACL 中 新 增 一 条 规则 条 目 , 则 新 的 条 目 只 能 加 在 现 有 
条 目的 最 后 面 , 不 能 插入 到 现 有 条 目的 中 间 , 如 果 必 须要 修改 ,只 有 先 删 除 现 有 的 整个 列表 ， 
再 创建 一 个 新 的 ACL。 命名 访问 控制 列表 (Named Access Lists) 例 外 。 
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11.2.4 ACL 类 型 


从 技术 上 讲 ,访问 控制 列表 可 以 分 为 两 大 类 ,分别 是 标准 访问 控制 列表 (标准 ACL, 编 
号 为 1 一 99) 和 扩展 访问 控制 列表 (扩展 ACL ,编号 为 100 一 199) ,二 者 的 区 别 主 要 是 标准 
ACL 是 基于 源 地 址 的 数据 包 过 滤 ,而 扩展 ACL 是 基于 目标 地 址 . 源 地 址 、 网 络 协议 及 其 端 
口 等 的 数据 包 过 小 。 

还 有 一 种 称 为 命名 访问 控制 列表 (命名 ACL) , 它 并 不 是 一 种 新 的 ACL ,要么 是 标准 的 
ACL ,要么 是 扩展 的 ACL ,单独 出 来 是 由 于 命名 ACL 的 创建 和 引用 方式 不 同 于 标准 ACL 
和 扩展 ACL ,但 功能 基本 都 是 一 样 的 。 


1. 标准 访问 控制 列表 


标准 ACL 只 根据 源 IP 地 址 来 做 过 滤 决 定 。 标 准 ACL 检查 数据 包 的 源 地 址 ,从 而 允许 
或 拒绝 基于 网 络 . 子 网 或 主机 的 IP 地 址 的 所 有 通信 流量 通过 路 由 器 接口 或 交换 机 端口 。 
例如 : 


Router(config)#access—list number / / number 为 1 一 99 


2. 扩展 访问 控制 列表 


扩展 ACL 能 够 根据 源 IP 地 址 .目标 IP 地 址 .第 三 层 的 协议 字段 、 第 四 层 的 端口 号 等 来 
做 过 滤 决 定 。 因 为 考虑 的 控制 因素 多 ,扩展 ACL 相 比 标准 ACL 更 具有 灵活 性 和 可 扩充 
性 , 即 可 以 对 同一 地 址 允许 使 用 某 些 协议 通信 流量 通过 ,而 拒绝 使 用 其 他 协议 的 流量 通过 。 
例如 : 


Router(config) # access-list number / /number Jj 100—199 


3. 命名 访问 控制 列表 


命名 ACL 使 用 字母 或 数字 组 合 的 字符 串 名 称 来 代 答 数字 编号 ,名 称 的 使 用 区 分 大 小 
Ej ,并 且 必 须 以 字母 开头 ,可 以 包含 字母 ,数字 和 字符 ,名 称 的 最 大 长 度 为 100 个 字符 。 名 称 
能 更 直观 地 反映 出 ACL 需要 完成 的 功能 。 命 名 ACL 突破 了 标准 ACL 和 扩展 ACL 的 数 
目 限制 ,可 以 定义 更 多 的 ACL。 使 用 命名 ACL 可 以 用 来 删除 某 一 条 特定 的 条 目 , 便 于 修 
改 , 而 编号 ACL 将 删除 整个 ACL, 

注意 : 单 台 路 由 器 上 命名 ACL 的 名 称 必须 是 唯一 的 ,不 同 路 由 器 上 的 命名 ACL 名 称 
可 以 相同 。 

在 使 用 命名 ACL 时 ,要求 路 由 器 的 IOS 版 本 在 11.2 以 上 。 使 用 ip access-list 命令 来 
创建 命名 ACL。 例 如 : 


Router(config) # ip access - list- standard/extend- name 


下 面 比较 标准 ACL 和 扩展 ACL, 如 表 11-3 所 示 。 
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表 11-3 标准 ACL 和 扩展 ACL 比较 表 


标准 ACL 扩展 ACL 
过 滤 基 于 源 端 过 滤 基 于 源 和 目的 端 
允许 或 拒绝 整个 TCP/IP 协议 族 允许 或 拒绝 特定 的 IP 协议 .端口 或 服务 等 
范围 (1 一 99) 范围 (100 一 199) 
放置 在 离 目 标 最 近 的 地 方 放置 在 离 源 端 最 近 的 地 方 


11.2.5 ACL 注意 事项 


在 配置 ACL 时 ,应 注意 如 下 事项 : 

(1) 除非 访问 控制 列表 以 permit any 命令 结尾 ,否则 不 满足 任何 条 件 的 分 组 都 将 被 丢 
弃 。 访 问 控制 列表 至 少 应 包含 一 条 permit 语句 ,否则 它 将 拒绝 所 有 的 数据 流 。 

(2) 创建 访问 控制 列表 后 应 将 其 应 用 于 路 由 硕 接 口 或 交换 机 端口 。 如 果 访 问 控制 列表 
没有 包含 任何 测试 条 件 , 即 使 将 其 应 用 于 路 由 颖 接口 或 交换 机 端口 , 它 也 不 会 过 滤 数 据 流 。 
如 果 不 应 用 于 路 由 冀 接 口 或 交换 机 病 口 ,访问 控制 列表 将 不 起 作用 。 

(3) 访问 控制 列表 用 于 过 小 穿越 路 由 幽 或 交换 机 的 数据 流 , 它 们 不 会 过 滤 始 发 于 当前 
路 由 疹 或 交换 机 的 数据 流 。 

(4) 应 将 标准 访问 控制 列表 放 在 离 目的 地 尽 可 能 近 的 地 方 ,这 就 是 我 们 不 想 在 网 络 中 
使 用 标准 访问 控制 列表 的 原因 。 不 能 将 标准 访问 控制 列表 放 在 离 源 主机 或 源 网 络 很 近 的 地 
方 , 因 为 它 只 能 根据 源 地 址 进行 过 滤 , 这 将 影响 有 所 有 的 目的 地 。 

(5) 将 扩展 访问 控制 列表 放 在 离 源 问 尽 可 能 近 的 地 方 。 扩 展 访问 控制 列表 可 根据 非 第 
具体 的 地 址 和 协议 进行 过 滤 ,我 们 不 布 望 数 据 流 穿越 整个 网 络 消耗 网 络 带宽 后 ,最 终 却 被 拒 
绝 。 将 这 种 访问 控制 列表 放 在 离 信 源 尽 可 能 近 的 地 方 , 可 在 一 开始 就 将 这 种 数据 流 过 滤 挥 ， 
以 免 它 占用 宝 中 的 网 络 市 多 。 
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11.3 标准 ACL 原理 及 配置 


11.3.1 标准 ACL 原理 


标准 ACL 通过 查看 数据 包 的 源 地 址 来 过 滤 网 络 数 据 流 , 创 建 标准 ACL 时 ,要 使 用 标 
准 ACL 的 编号 1 一 99。 通 常 使 用 编号 来 区 分 ACL 的 类 型 ,下面 是 标准 ACL 的 命令 语法 : 


Router(config) # access-list number permit|deny source- address source-wildcard 


其 中 : 

(1) number 表示 标准 ACL 的 编号 ,范围 为 1 一 99。 

(2) permit| deny, 接 下 来 决定 要 创建 permit 语句 还 是 deny 语句 ,permit 语句 表示 人 允许 
后 面 的 源 IP 地 址 访问 网 络 ,deny 表示 拒绝 后 面 的 源 IP. 地 址 访问 网 络 。 

(3) source-address 表示 源 IP 地 址 ,通过 通配符 掩 人 码 source-wildcard 的 配合 ,可 以 指定 
特定 的 源 IP 地 址 泡 围 内 的 主机 ,也 可 以 用 来 指定 单 台 主机 ,还 可 以 使 用 命令 host 来 指定 特 
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定 的 主机 ,或 者 是 用 any,any 代表 任何 主机 (网 络 ) 。 
下 面 是 标准 ACL 的 示例 : 


Router (config) 井 access 一 List 10 permit host 192.168.17.3 // 允许 特定 主机 
Router(config)itaccess- list 10 permit 192.168.17.0 0.0.0.255 // 人 允许 指定 的 源 IP 网络 


在 上 面 的 示例 中 ,通配符 掩 码 非 常 关键 。 路 由 颖 或 交换 机 使 用 通配符 掩 码 与 源 地 址 或 
者 目标 地 址 一 起 来 明确 ACL 需要 匹配 的 地 址 范围 。 

在 访问 控制 列表 中 ,通配符 掩 码 的 左边 高 位 通常 为 0, 右边 低位 通常 为 1。 在 通配符 掩 
码 中 ,设置 成 0 的 那些 位 表示 必须 严格 检查 .精确 匹配 IP 地 址 中 的 对 应 位 ,通常 为 网 络 地 址 
位 ; 设置 为 1 的 那些 位 表示 无 须 检 查 , 所 对 应 的 IP 地 址 中 的 那些 位 可 以 是 1、 也 可 以 是 0， 
通常 为 主机 地 址 位 。 

通配符 掩 码 中 ,可 以 用 全 1, 即 255. 255. 255. 255 表示 所 有 的 IP 地 址 ,因为 全 1 说 明 32 
位 中 所 有 位 都 不 需 检 查 ,此 时 可 用 any 蔡 代 。 而 通配符 掩 码 为 全 0, 即 0.0.0.0 则 表示 所 有 
32 位 都 必须 严格 检查 ,精确 匹配 对 应 的 IP 地 址 的 每 一 位 , 且 每 一 位 都 不 能 改变 。 因 此 , 它 
只 能 表示 一 个 唯一 的 IP 地 址 ,此 时 可 以 用 host 表示 。 

例如 下 面 这 条 ACL 的 配置 ,ACL ID 为 10 ,表示 这 是 一 个 标准 ACL, permit 表示 允许， 
人 允许 的 源 IP 地 址 范围 为 192. 168. 17.0, 至 于 这 个 网 络 到 底 多 大 呢 ?” 由 通配符 掩 码 决 定 。 通 配 
符 掩 码 为 0.0.0.255, 其 中 左边 高 位 3 个 字 节 全 0, 表示 对 应 的 192. 168. 17. 0 的 前 3 个 字 节 必 
须 严格 匹配 ; 通配符 掩 码 最 后 一 个 字 节 为 255 ,表示 低 位 8 位 为 全 1, 这 8 位 无 须 检 查 、 无 须 匹 
配 , 对 应 的 下 地 址 的 最 后 一 个 字 节 可 以 为 0 也 可 以 为 1。 则 如 下 示例 中 的 0.0.0. 255. DE BH TA 
标准 ACL 人 允许 192. 168. 17. 0 一 255 中 任何 一 个 主机 地 址 均 可 以 访问 网 络 。 


Router( config) # access-list 10 permit 192.168.17.0 0.0.0.255 


注意 : 默认 情况 下 ,标准 ACL 条 目的 结尾 均 上 暗藏 一 条 deny any,; 所 以 在 ACL 里 至 少 要 
有 一 条 permit 条 目 。 如 果 ACL 所 有 条 目 都 是 deny, 那 么 加 上 最 后 隐 含 的 deny any ,该 接口 
将 会 拒绝 所 有 流 经 该 接口 的 数据 。 标 准 ACL 还 有 其 他 一 些 需要 注意 的 问题 ,具体 可 查看 
11. 2.3 节 的 ACL 使 用 原则 和 11.2. 5 $89 ACL 注意 事项 。 

11.3.2 标准 ACL 配置 方法 

1. 实验 拓扑 图 

信息 学 院 有 3 台 路 由 器 RI.R2.R3 和 若干 主机 ,路 由 器 之 间 通 过 串口 线 连接 ,用 3 RE 
机 作为 测试 ,如 图 11-3 所 示 , 按 要 求实 现 标准 ACL 功能 。 

2. 实验 内 容 

CD 对 设备 连 线 并 进行 子 网 规划 和 基本 配置 ,利用 EIGRP 协议 实现 全 网 可 达 。 


(2) 拒绝 PC2 所 在 网 段 访问 路 由 疾 R2, 同 时 只 允许 主机 PC3 访问 路 由 善人 2 的 Telnet 
服务 ,要 求 利 用 标准 ACL 完成 该 任务 。 


192.168.12.0/24 192.168.23.0/24 
SO/0/l - 


-— 


10.1.1.0/24 


PCI PC2 
图 11-3 标准 ACL 拓扑 图 


3. 实验 配置 

(D BOE RI. Æ R1. 上 主要 配置 EIGRP 协议 ,注意 AS 号 和 通配符 掩 码 。 
Rl(config) # router eigrp 1 / / J&à FH EIGRP 协议 
Rl(config-router) # network 10.1.1.0 0.0.0.255 / [E RAER 


Rl(config-router) # network 172.16.1.0 0.0.0.255 
Rl(config-router) # network 192.168.12.0 
Rl(config-router) # no auto- summary / XB] B SHE S 


(2) Bi R2, Æ R2 上 主要 配置 EIGRP 协议 ,配置 标准 ACL 阻止 PC2 所 在 子 网 的 访 
|n]; 然后 配置 标准 ACL ,人 允许 PC3 访问 其 Telnet 服务 ,并 设置 好 Telnet HS, 


R2(config) # router eigrp 1 

R2(config-router) # network 2.2.2.0 0.0.0.255 

R2(config-router) # network 192.168.12.0 0.0.0.255 

R2(config-router) # network 192.168.23.0 0.0.0.255 

R2(config-router) # no auto- summary 

R2(config) # access-list 1 deny 172.16.1.0 0.0.0.255 // 定 义 标 准 ACL, 配置 在 目的 端 
R2(config) # access-list 1 permit any 

R2(config) 井 interface Serial0/0/0 


R2(config-if) # ip access-group 1 in // 在 接口 下 应 用 ACL, 注意 方向 
R2(config) # access-list 2 permit 172.16.3.1 // 允许 PC3 

R2(config-if) 4 line vty 0 4 // 进 入 VTY, 配置 Telnet 相关 参数 
R2(config-line) # access-class 2 in // 在 VTY 线路 模式 下 应 用 ACL 
R2(config-line) & password cisco // 配 置 Telnet 口令 
R2(config-line) f$ login // 启 用 VTY 


(3) 配置 R3。 在 R3 上 主要 配置 EIGRP 协议 ,使 得 全 网 连通 。 


R3(config) # router eigrp 1 
R3(config-router) # network 172.16.3.0 0.0.0.255 
R3(config-router) # network 192.168.23.0 


R3(config-router) 井 no auto- summary 


4. 实验 结果 分 析 


石 标准 ACL 配置 正确 , 则 主机 PCI 所 在 的 网 段 可 以 ping 通 2.2.2.2, 而 主机 PC2 所 在 
的 网 段 无 法 ping 通 2.2.2.2; 在 主机 PC3 可 以 成 功 Telnet 2. 2. 2. 2, 
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通过 show ip access -lists 查看 设备 上 配置 的 ACL, 可 以 观察 到 各 条 ACL 匹配 的 流量 
TA 

R2 # show ip access -lists 

Standard 

show ip access- lists 

Standard IP access list 1 1 

10 deny 172. 16.1.0, wildcard bits 0.0.0.255 ( 11 matches) 

20 permit any ( 405 matches) 

Standard IP access list 2 

10 permit 172.16.3.1 ( 2 matches) 


通过 show ip interface, 可 以 观察 到 ACL 调用 的 方 回 ,和 运用 的 ACL 情况 。 


R2# show ip interface s0/0/0 
(部 分 内 容 省 略 ) 

Outgoing access list is not set 
Inbound access list is 1 
Outgoing access list is not set 


Inbound access list is 1 


11.4 扩展 ACL 原理 及 配置 


11.4.1 4 H& ACL RHE 


在 使 用 标准 ACL 时 ,无 法 同时 根据 源 地 址 和 目标 地 址 来 做 出 决策 ,因为 标准 ACL 只 
能 根据 源 地 址 来 做 出 决策 。 而 扩展 ACL 可 以 解决 这 个 问题 ,扩展 ACL 可 以 依据 源 地 址 、 
目标 地 址 .协议 以 及 标识 上 层 协 议 或 着 应 用 程序 的 奖 口 扎 来 做 出 允许 或 拒绝 的 决策 。 扩 展 
ACL 使 用 编号 范围 为 100 一 199 ,其 配置 语法 如 下 ， 


Router(config) # access- list number permit | deny protocol source -address source - wildcard 


source-port destination- address destination-wildcard operator destination- port 


Hp, 

(D number, 表 示 扩 展 ACL 编号 ,其 范围 为 100 一 199。 

(2) permit| deny, 表 示人 允许 或 拒绝 后 面 的 源 IP 地 址 通过 指定 的 协议 访问 后 面 的 目标 
IP 地 址 。 

(3) protocol ,表示 需要 被 过 小 的 协议 类 型 ,如 IP, TCP, UDP, ICMP 、EIGRP 等 。 

(4) source-address source-wildcard. zm Us IP 地 址 和 对 应 的 通配符 掩 人 码 ,同样 的 ,可 以 
是 IP 地 址 范围 ,也 可 以 是 特定 的 主机 ,还 可 以 是 任意 的 主机 any. 

(5) destination-address destination-wildcard ,表示 被 访问 的 目标 IP 地 址 和 对 应 的 通 配 
符 掩 码 ,同样 的 ,可 以 是 IP 地 址 范围 ,也 可 以 是 特定 的 主机 ,还 可 以 是 任意 的 主机 any. 

(6) operator ,表示 操作 ,可 以 是 eq( 等 于 ) .gt( 大 于 ) .lt( 小 于 ) .neq( 不 等 于 ) rangel yù. 
围 ) 等 。 


22i 


e, 
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(7) source-port ,destination-port, 表 示 源 端口 号 和 目标 疹 口 号 。 和 用 端口 号 : 20CFTP 
RO .21CFTP 控制 )、23(Telnet 服务 )、80(HTTP 服务 ) 等 。 
下 面 是 扩展 ACL 的 配置 示例 : 


Router (config) #access-list 110 deny tcp 192.168.0.0 0.0.255.255 10.0.0.0 0.255.255.255 eq 


80 / /WTTP 服务 
Router (config) # access- list 120 permit tcp 172. 16.10. 0 0. 0. 0. 255 20.0. 0. 0 0. 255. 255. 255 
eq 23 

/ /' Telnet 服务 


第 一 行 表 示 扩 展 ACL 110 ,拒绝 源 端 为 192. 168.0. 0 的 所 有 主机 通过 TCP 协议 访问 目 
标 网 络 为 10.0.0.0 网 络 的 HTTP 服务 。 

第 二 行 表 示 扩 展 ACL 120 ,人 允许 源 端 为 172. 16. 10. 0 的 所 有 主机 通过 TCP 协议 访问 目 
标 网 络 为 20.0.0.0 网 络 的 Telnet 服务 。 


11.4.2 扩展 ACL 配 置 方 法 

1. 实验 拓扑 图 

本 实验 拓扑 结构 图 同样 如 图 11-3 所 示 。 

2. 实验 内 容 

(D 删除 实验 11.3.2 节 中 定义 的 标准 ACL., 

(2) 只 允许 主机 PC2 所 在 的 网 段 访问 路 由 疾 RZ 的 WWW 和 Telnet 服务 。 
(3) 拒绝 主机 PC3 所 在 的 网 段 ping 路 由 器 R2. 

3. 实验 操作 

(D 配置 R1。 扩 展 ACL 应 该 配置 在 和 菲 近 源 端 的 路 由 关上 ,所 以 在 人 1 上 配置 。 


Rl(config)it access-list 100 permit tcp 172.16.1.0 0.0.0.255 host 2.2.2.2 eq www 
Rl(config) # access-list 100 permit tcp 172.16.1.0 0.0.0.255 host 192.168.12.2 eq www 
Rl(config) # access-list 100 permit tcp 172.16.1.0 0.0.0.255 host 192.168.23.2 eq www 
Rl(config)itaccess- list 100 permit tcp 172.16.1.0 0.0.0.255 host 2.2.2.2 eq telnet 
Rl(config) # access-list 100 permit tcp 172.16.1.0 0.0.0.255 host 192.168.12.2 eq telnet 
Ri(config)itaccess-list 100 permit tcp 172.16.1.0 0.0.0.255 host 192.168.23.2 eq telnet 
// 定 义 拓 展 ACL, 和 针对 PC2 访问 R2 的 WWW 和 Telnet 流量 做 控制 

Rl(config) 井 interface fa0/1 

Rl(config- if) # ip access- group 100 in // 在 接口 调用 


(2) 配置 R2。 前 面 R2 配置 了 标准 ACL, 因 此 需要 先 删 除 掉 ,然后 开启 HTTP 服务 和 


Telnet 服务 。 
R2(config) # no access-list 1 // 删 除 实验 4.1 中 配置 的 标准 ACL 
R2(config) # no access-list 2 
R2(config) # ip http server / [HF Jà E H AAY HTTP 服务 


R2(config) # line vty 0 4 // 开 启 Telnet 
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R2(config-line) 4 password cisco 


R2(config-line)it login 


(3) ME R3, Æ R3 上 面 配 置 扩展 ACL ,拒绝 主机 PC3 所 在 的 网 段 ping Pit Hi gs R2. 


R3(config) # access-list 101 deny icmp 172.16.3.0 0.0.0.255 host 2.2.2.2 log 
R3(config)itaccess-list 101 deny icmp 172.16.3.0 0.0.0.255 host 192.168. 12. 2 log 
R3(config)itaccess-list 101 deny icmp 172.16.3.0 0.0.0. 255 host 192.168. 23. 2 log 
R3(config) 井 access-list 101 permit ip any any 

R3(config) # interface fa0/1 

R3(config- if) ip access- group 101 in / /E 8 ED 38] FR] 


log 参数 会 生成 相应 的 日 志 信 息 , 用 来 记录 经 过 ACL 入 口 的 数据 包 的 情况 。 

注意 : 将 扩展 访问 控制 列表 放 在 靠近 源 端 的 位 置 上 ,避免 创建 的 ACL 影响 其 他 接口 上 
的 数据 流 。 将 标准 访问 控制 列表 靠近 目的 端 , 因 为 标准 访问 控制 列表 只 使 用 源 地 址 ,如 果 将 
其 靠近 源 端 会 阻止 数据 包 流 向 其 他 端口 。 


4. 实验 结果 分 析 


分 别 在 PC1、PC2、PC3 上 进行 测试 ,实验 效果 与 要 求 一 致 。 
当 PC3 ping R2 时 ,R3 上 将 会 出 现 日 志 消 息 , 证 明 当 PC3 访问 R2 时 ,R3 上 有 匹配 的 
ACL 流量 经 过 。 


* Feb 25 17:35:46.383: % SEC-6- IPACCESSLOGDP: list 101 denied icmp 172.16.3.1-> 2.2.2.2 
(0/0), 1 packet 

* Feb 25 17:41:08.959: & SEC-6- IPACCESSLOGDP: list 101 denied icmp 172.16.3.1—-» 2.2.2.2 
(0/0), 4 packets 

x Feb 25 17:42:46.919: % SEC-6- IPACCESSLOGDP: list 101 denied icmp 172.16.3.1—-» 
192.168.12.2 (0/0), 1 packet 

* Feb 25 17:42:56.803: & SEC-6- IPACCESSLOGDP: list 101 denied icmp 172.16.3.1—-» 
192.168.23.2 (0/0), 1 packet 


Æ R1 上 使 用 show ip access-lists 查看 配置 的 ACL 信息 。 


R1 # show ip access- lists 
Extended IP 

show ip access- lists 
Extended IP access list 100 
10 permit tcp 172.16.1.0 0.0.0. 255 host 2.2.2.2 eq www ( 8 matches) 

20 permit tcp 172.16.1.0 0.0.0.255 host 192.168. 12. 2 eq www 

30 permit tcp 172.16.1.0 0.0.0.255 host 192.168. 23.2 eq www 

40 permit tcp 172.16.1.0 0.0.0.255 host 2.2.2.2 eq telnet ( 20 matches) 
50 permit tcp 172.16.1.0 0.0.0.255 host 12.12. 12.2 eq telnet ( 4 matches) 
1 0 


60 permit tcp 172.16.1.0 0.0.0.255 host 23.23.23.2 eq telnet ( 4 matches) 


230 


NA 
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(1) 在 配置 ACL 之 前 ,首先 应 该 确保 路 由 协议 配置 正确 ,全 网 连通 。 

(2) 在 配置 ACL 的 时 候选 错 路 由 需 。 

在 标准 ACL 配置 中 ,应 当选 择 离 目标 地 址 近 的 路 由 需 , 如 11.3.2 5! PC2 是 目标 地 
址 , 离 目 标 地 址 近 的 路 由 需 是 R2, 所 以 应 当 在 R2 上 配置 标准 ACL. 

在 扩展 ACL 配置 中 ,应 当选 择 离 源 地 址 近 的 路 由 希 , 如 11. 4.2 市 中 PCI 为 源 地 址 , 离 
源 地 址 近 的 路 由 需 是 R1, 所 以 应 当选 择 在 R1 上 配置 扩展 ACL, 

(3) 在 配置 扩展 ACL 之 前 没有 删除 标准 ACL., 

如 果 在 配置 扩展 ACL 之 前 没有 删除 标准 ACL 的 话 ,扩展 ACL 将 会 受 其 影响 ,会 出 现 
无 法 访问 HTTP 服务 /Telnet 服务 以 及 无 法 ping 38 , 

(4) 如 果 在 access-list 10 deny 192. 168. 1.1 0.0.0. 0 这 条 命令 前 加 no, 则 会 删除 整个 
ACL ,命名 访问 控制 列表 例外 。 
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1. 实战 拓扑 


计算 机 学 院 和 信息 学 院 各 有 一 台 路 由 需 , 分 别 为 R1 和 R2, 信 息 学 院 还 有 一 台 交 换 机 
SW ,两 个 学 院 各 有 一 台 PC 用 于 测试 ,如 图 11-4 所 示 , 该 网 络 用 来 实战 ACL 的 配置 和 


计算 机 学 院 100.100.100.0/32 ”信息 学 院 172.16.10.0/24 


一 -二 PEEL i 
SA N 07 ^^" fa0/1 m 


192.168.1.0/24 172.16.2.0/24 


图 11-4 实战 演练 拓扑 图 


2. 实战 内 容 


(OD 首先 对 两 个 学 院 的 各 网 络 设 备 连 线 , 然 后 进行 子 网 规划 和 基本 配置 ,实现 全 网 
可 过 。 

(2) 使 用 标准 ACL ,实现 计算 机 学 院 的 PCI 无 法 访问 信息 学 院 的 PC2, 且 要 求 测试 结 
果 为 : PCI ping PC2 显示 destination unreachable,PC2 ping PC1 显示 request timeout, 

(3) 删除 标准 ACL ,设计 扩展 ACL, Æ R2 路 由 器 上 禁止 PCI 所 在 网 络 的 HTTP 请 
求 , 但 仍 能 互相 ping 通 。 在 R1 路 由 器 上 禁止 R2 的 Telnet 请 求 ,但 设备 间 仍 能 相互 
ping Ñ. 
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1. 标准 ACL 和 扩展 ACL 4r 3l TZ TE US sgg l6 Y 2e TE HH ix up LG EL? 在 源 端 设 
4 oA HAJ Ymi A HUND BED E ih? 是 数据 包 流 入 接口 还 是 流出 接口 ? 有 什么 不 
同 吗 ? 

2. 对 于 给 定 的 拓扑 结构 图 ,在 配置 ACL 之 前 ,首先 完成 基本 配置 ,实现 全 网 连通 ,然后 
配置 ACL。 配 置 完 ACL 发 现 从 源 端 主机 ping 不 通 目的 端 主机 ,似乎 达到 配置 需求 。 但 经 
过 仔细 测试 可 以 得 到 两 种 不 同 的 结果 ,一 种 是 destination unreachable, 另 一 种 是 request 
timeout, 这 两 种 不 同 结果 的 区 别 是 什么 ? 

3. 配置 标准 ACL 或 扩展 ACL 时 ,如 宁 要 修改 或 删除 其 中 一 个 条 目 , 需 要 删除 整个 
ACL ,给 配置 和 管理 带 来 诸多 不 便 。 命 名 ACL 可 以 解决 上 述 问题 ,上 网 查询 相关 资料 , 掌 
握 命 名 ACL 的 原理 和 配置 方法 。 除 了 命名 ACL 之 外 ,还 有 其 他 类 型 的 ACL 吗 ? 它们 之 
间 有 何 异 同 ? 

4. ACL 除了 在 路 由 融 .交换 机 上 配置 外 ,还 可 以 在 哪些 网 络 设 备 上 进行 配置 和 管理 网 
络 ? 相 比 路 由 硕 和 交换 机 ,在 这 些 设 备 上 配置 ACL 有 什么 优势 ? 
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校园 网 或 园区 网 的 内 部 子 网 、 服 务 器 和 主机 等 都 使 用 私有 IP 地 址 ,这 些 私 有 地 址 是 无 
法 在 互联 网 中 被 识别 和 路 由 的 ,但 校园 网 或 园区 网 内 部 的 服务 器 和 主机 都 有 访问 互联 网 的 
需求 ,这 就 必须 使 用 网 络 地 址 转换 协议 。 本 章 主要 介绍 为 什么 需要 网 络 地 址 转换 ,以 及 什么 
是 网 络 地 址 转换 ,其 次 介绍 其 功能 、 工 作 原理 、 分 类 方法 , 接 下 来 对 静态 .动态 .端口 映射 三 种 
类 型 分 别人 旬 绍 它们 的 原理 与 配置 方法 ,最 后 给 出 典型 的 生 例 分 析 和 实战 项 目 。 


12.1 为 什么 需要 NAT 

网 络 地 址 转换 (Network Address Translation. NAT) 能 够 将 内 部 私有 地 址 转换 为 外 部 
公共 地 址 ,从 而 访问 互联 网 。 本 布 主要 介绍 在 现代 校园 网 或 园区 网 中 为 何 需要 NAT, AA 
相关 概念 林场 。 


12.1.1 NAT 之 问 


第 2 草 介 绍 了 现代 校园 网 或 园区 网 的 主要 结构 `VLAN 的 创建 和 管理 方法 ,以 及 可 以 
采用 ACL 进行 流量 管理 和 用 户 权 限 的 设置 。 这 些 局 域 网 络 都 有 一 些 共 性 的 地 方 , 下 面 先 
思考 如 下 几 个 问题 : 

(1) 校园 网 企业、 公司 或 单位 内 部 的 网 络 , 可 以 称 为 什么 样 的 网 络 ? 这 样 的 网 络 有 什 
么 共同 的 特征 ? 

(2) 在 上 述 网 络 中 ,给 该 网 络 中 的 每 台 网 络 设备 和 主机 分 配 一 个 公共 IP 地址 ,这 样 做 
可 行 吗 ? 

(3) 如 果 内 网 都 使 用 私有 IP 地 址 ,通过 什么 样 的 方法 可 以 访问 外 面 的 互联 网 络 , 并 与 
外 网 的 终端 进行 通信 呢 ? 

(4) ÆA RE, WWW, Email 服务 器 等 终端 需要 外 网 能 够 方便 有 旦 稳定 地 访问 ,其 余 
主机 不 需要 被 外 网 直接 访问 。 面 对 这 样 的 需求 ,在 设置 NAT 时 有 什么 不 同 呢 ?如 果 网 络 
服务 提供 商 分 配给 单位 的 公共 IP 地 址 受 限 时 ,又 设置 什么 样 的 NAT 较 好 呢 ? 

我 们 再 回顾 一 下 第 2 章 校 园 网 项 目 设计 与 子 项 目 分 解 中 的 图 2-1 ,是 一 个 校园 网 的 整体 
拓扑 结构 图 ,校园 网 一 般 由 一 台 边 界 网 络 设 备 提供 两 个 出 口 ,一 个 是 中 国教 育 科 人 研 网 , 另 一 
个 是 通过 租用 中 国电 信 .中 国联 通 或 中 国 移动 的 网 络 连接 互联 网 。 其 他 企业 .公司 或 单位 内 
部 的 网 络 和 校园 网 的 整体 拓扑 结构 类 似 , 通 党 也 是 一 台 边 界 网 络 设备 ,有 旦 只 有 一 个 互联 网 出 
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O ,这 种 网 络 可 以 称 为 存根 网 络 (Stub Network) 。 存 根 网 络 具 有 一 些 共 同 的 特征 ,例如 : 

(1) 都 属于 大 型 的 局 域 网 ,都 有 一 台 边 界 网 络 设备 ,通常 为 高 性 能 路 由 器 或 网 闸 , 对 外 
有 一 个 出 口 连接 互联 网 。 

(2) 边界 网 络 设 备 的 后 面 都 有 一 人 台 或 两 台 防 火 墙 ,防火 墙 的 安全 区 (CDMZ) 都 会 连接 高 
性 能 交换 机 并 上 连 WWW, Email, DNS 等 需要 对 内 和 对 外 提供 服务 的 服务 器 。 

(3) 内 部 骨干 网 者 及 用 层次 结构 ,通常 为 核心 层 、 汇 聚 层 和 接 入 层 , 有 些 现代 智 莫 校园 
网 还 采用 网 络 虚拟 化 新 技术 ,骨干 网 采用 大 二 层 的 网 络 架 构 , 各 层 网 络 设 备 均 采 用 高 性 能 交 
换 机 ,提供 和 干 兆 到 桌面 的 网 络 连接 ,提升 整体 网 络 的 可 靠 性 和 稳定 性 。 

(4) 内 部 的 子 网 .服务 顺和 终端 主机 等 都 使 用 私有 IP 地 址 ,但 都 需要 访问 互联 网 络 。 

接 下 来 看 第 二 个 问题 。 私 有 IP 地 址 是 不 能 在 互联 网 络 中 被 识别 和 路 由 的 。 那 么 ,在 上 
述 网 络 中 ,能 否 给 该 网 络 中 的 每 台 网 络 设备 .服务 器 和 终端 主机 等 分 配 一 个 公共 IP 地 址 呢 ? 
答案 是 不 可 行 的 。 原 因 主 要 有 以 下 几 个 方面 : 

(D) IP 地 址 资源 不 够 。 在 IPv4 编 址 范围 内 ,总 的 公共 IP 地 址 数量 是 有 限 的 。 随 着 各 
类 组 织 ,单位 ,终端 主机 数量 的 快速 增长 ,公共 P 地 址 的 需求 量 与 日 俱 增 ,因此 ,有 限 的 公 
dt IP 地 址 资源 已 经 无 法 持续 满足 这 种 对 IP 地 址 快速 增长 的 需求 。 

(2) 整体 网 络 性 能 降低 。 如 果 局 域 网 内 部 每 个 子 网 .每 台 服 务 顺 和 终端 主机 都 分 配 一 
个 公共 IP 地 址 ,那么 每 个 局 域 网 内 部 包含 可 供 路 由 的 IP 子 网 数量 将 变 得 非常 多 ,使 得 路 由 
表 的 路 由 条 目 变 得 异常 多 ,这 给 路 由 器 的 CPU 内存 等 带 来 繁重 负担 , 且 不 利于 路 由 协议 的 
更 新 和 快速 收敛 ,大幅 降 低 网 络 性 能 。 

(3) 安全 无 法 保障 。 如 果 局 域 网 内 部 均 使 用 公共 IP 地 址 ,这 时 候 的 局 域 网 已 经 没有 内 
网 ` 外 网 之 分 了 ,互联 网 上 的 所 有 主机 都 能 和 直接 访问 局 域 网 内 的 任何 一 台 设 备 和 终端 主机 ， 
相当 于 边界 网 络 设备 的 安全 屏障 失去 了 作用 ,无 法 及 时 阻止 外 网 的 恶意 数据 包 访问 内 网 ,从 
而 网 络 安全 无 法 得 到 保障 。 绽 上 所 述 , 给 局 域 网 内 部 的 每 台 网 络 设备 .服务 器 和 终端 主机 都 
分 配 一 个 公共 IP 地 址 是 不 可 行 的 。 

再 看 第 三 个 问题 。 前 面 已 经 前 明 ,不 能 为 内 网 的 设备 和 主机 分 配 公 共 IP 地 址 , 那 就 只 
能 用 私有 IP 地 址 ,而 私有 地 址 是 无 法 在 互联 网 络 上 被 识别 和 路 由 的 。 也 就 是 说 ,私有 地 址 
是 无 法 直接 上 网 的 。 然 而 ,不 管 哪个 局 域 网 ,其 服务 器 和 终端 主机 都 有 上 网 需求 。 现 代 校 园 
网 ,移动 终端 都 需要 加 入 到 互联 网 中 形成 移动 互联 网 。 那 么 ,采用 什么 技术 能 够 使 得 采用 私 
A IP 地 址 的 内 部 主机 访问 外 网 呢 ? 答案 是 采用 网 络 地 址 转换 技术 ,也 称 NAT 技术 。NAT 
能 够 在 网 络 边界 设备 上 将 私有 IP 地 址 转换 为 公共 IP 地 址 ,通过 转换 的 公共 IP 地址 在 网 络 
中 被 识别 和 路 由 ,从 而 访问 互联 网 ,并 与 外 网 的 终端 进行 通信 。 

最 后 看 第 四 个 问题 。NATI 根据 应 用 场景 的 不 同 ,可 以 分 成 评 态 NAT. 动态 NAT Ai 
OEI NAT。 下 面 来 看 有 哪些 不 同 的 场景 : 

(1) 在 局 域 网 内 网 中 ,WWW 、Email 等 服务 毅 终 端 需要 外 网 能 够 方便 上 且 稳定 地 访问 ,其 
余 主 机 不 需要 被 外 网 直接 访问 。 面 对 这 样 的 需求 ,在 设置 NAT 时 有 什么 不 同 呢 ? 这 种 场 
景 下 ,可 以 将 需要 对 外 提供 服务 的 服务 需 全 部 部 署 在 防火 墙 的 DMZ 区 ,为 每 台 服 务 喜 申请 
一 个 公共 IP 地 址 ,然后 配置 静态 NAT, 将 其 私有 IP 地 址 和 申请 的 公共 IP 地 址 建立 一 对 一 
映射 关系 ,实现 外 网 主机 可 以 访问 内 网 的 WWW、Email 等 服务 大 。 
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(2) 除了 对 外 提供 服务 的 服务 融 之 外 ,其 他 内 部 子 网 .内 部 服务 融和 内 部 主机 也 有 访问 
互联 网 的 需求 ,他 们 采用 什么 方式 进行 地 址 转换 呢 ? 如 宁 和 学校. 企业 等 单位 回 网 络 服务 提供 
Hj (Internet Service Provider,ISP) ,如 中 国电 信 、 中 国联 通 、 中国 移动 等 ,申请 的 公共 IP 地 
址 数量 比较 多 ,是 一 个 连续 的 地 址 池 时 ,可 以 采用 动态 NAT 对 内 部 私有 IP 地 址 进行 动态 
转换 。 

(3) "o SR E [yr pe] ISP 申请 的 公共 IP 地 址 受 限 时 ,设置 什么 样 的 NAT 较 好 呢 ? 这 时 可 
以 采取 端口 映射 的 方式 ,也 称 为 PAT (Port Address Translation) , 这样 仅 需 少 量 的 公共 地 
址 ,就 可 以 让 内 网 成 二 上 万 台 和 终端 主机 共 圣 访问 互联 网 。 

综 上 所 述 ,采用 NAT 技术 可 以 使 局 域 网 中 所 有 使 用 私有 IP 地 址 的 网 络 设 备 、 服 务 器 
和 主机 等 进行 地 址 映射 ,将 其 私有 IP 地 址 转换 到 公共 IP 地址 上 ,从 而 访问 互联 网 。 


12.1.2 NAT 术语 


NAT 协议 涉及 的 IP 地 址 术语 比较 多 , 容 匈 混淆 ,如 图 12-1 所 示 , 主 要 有 如 下 几 种 。 

(1) 内 部 本 地 地 址 (inside local address)。 即 NAT 转换 前 的 内 部 源 地 址 ,分 配给 内 部 
网 络 中 每 一 台 主 机 的 IP 地 址 。 通 常 是 由 RFC1918 定义 的 私有 IP 地 址 ,这 些 地 址 通常 只 有 
内 部 本 地 主机 知道 。 图 12-1 PHA A MH Ar X 的 fa0/0 接口 以 内 的 所 有 设备 和 主机 的 地 址 
米 用 内 部 本 地 地 址 ,都 是 私有 IP 地 址 。 

(2) 内 部 全 局 地 址 (inside global address)。 即 转换 后 的 源 地 址 ,是 从 ISP. 或 NIC 
(Internet Network Information Center) 注 册 的 公共 IP 地 址 ,也 称 为 公 网 TP 地 址 ,分 配给 内 
部 主机 、 以 执行 NAT 映射 处 理 的 地 址 。 对 外 进行 IP 通信 时 ,代表 一 个 或 多 个 内 部 本 地 地 
址 的 公共 IP 地址 ,这 种 内 部 全 局 地 址 可 以 被 外 部 网 络 识别 和 路 由 ,也 能 被 外 部 主机 看 到 。 
图 12-1 中 边界 路 由 器 X 的 S0/0/1 接口 使 用 的 地 址 是 内 部 全 局 地 址 。 

(3) 外 部 本 地 地 址 (outside local address)。 即 外 部 局 域 网 的 内 部 本 地 地 址 ,相对 于 本 
局 域 网 而 言 是 外 部 本 地 地 址 ,这 些 地 址 也 是 分 配给 外 部 局 域 网 的 私有 IP. 地 址 ,无 法 在 网 络 
上 被 识别 和 路 由 ,要 访问 网 络 也 需要 先 通 过 NAT 协议 将 其 私有 地 址 转换 到 外 部 全 局 地 址 
上 。 在 图 12-1 中 ,相对 于 路 由 器 X rk BS Jp d Ped m A panes Y 所 在 的 局 域 网 内 部 主机 使 


用 的 是 外 部 本 地 地 址 。 
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图 12-1 NAT 地 址 类 型 
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(4) 外 部 全 局 地 址 (Outside Global Address)。 即 外 部 目标 地 址 ,分 配给 外 部 网 络 上 主 
机 的 公共 IP 地 址 。 在 图 12-1 中 ,相对 于 路 由 融 X 而 言 , 所 有 在 互联 网 上 能 被 识别 和 路 由 的 
公共 IP 地 址 都 是 外 部 全 局 地 址 ,如 路 由 天 Y 的 外 部 接口 地 址 就 是 外 部 全 局 地 址 。 

(5) 地 址 池 (Address Pool)。 本 地 局 域 网 所 在 的 单位 各 NIC z ISP 申请 、 能 够 用 来 进 
£T NAT 使 用 的 多 个 公共 IP 地 址 的 集合 组 成 一 个 地 址 池 。 

(6) HA NAT。 能 够 在 内 部 本 地 地 址 (私有 IP 地 址 ) 和 内 部 全 局 地 址 ( 即 公 共 IP 地 
址 ) 之 间 进 行 一 对 一 的 映射 ,必须 为 网 络 中 的 每 台 主 机 提供 一 个 公共 IP 地 址 ( 公 网 IP)。 主 
要 用 于 局 域 网 中 需要 对 外 提供 服务 的 服务 关上 ,如 门户 网 站 WWW、Email、DNS SIA Ar 
需要 采用 静态 NAT 进行 地 址 转换 ,以 方便 外 网 能 够 顺利 访问 到 这 些 服 务 冀 。 

C 动态 NAT。 能 够 将 局 域 网 内 部 的 私有 IP 地 址 映射 到 向 NIC 或 ISP 申请 的 公共 
IP 地 址 池 中 的 一 个 地 址 ,在 实际 使 用 过 程 中 ,必须 申请 足够 多 的 公共 IP 地 址 ,让 连接 到 因 
特 网 的 多 人 台 主 机 都 能 够 同时 发 送 和 接收 数据 包 。 

(8) NAT 闯 口 复 用 (PAT)。 属 于 一 种 特殊 的 动态 NAT, 利 用 源 端 口 将 多 个 内 部 私有 
IP 地 址 和 一 个 公共 IP 地 址 进行 多 对 一 映 喘 ,也 被 称 为 端口 地 址 转换 (Port Address 
Translation,PAT),PAT 有 时 只 需要 使 用 一 个 内 部 全 局 IP 地 址 ,就 可 将 数 干 台 内 部 主机 连 
接 到 互联 网 Internet, 

(9) 边界 路 由 硕 。 网 络 边界 的 边 绿 或 未 点 的 路 由 天 ,提供 了 对 外 界 网 络 的 基本 安全 保 
护 ,或 者 从 缺乏 网 络 控制 的 区 域 进 入 到 专用 网 络 区 域 。 图 12-1 中 ,路 由 器 X 和 路 由 器 Y db 
JE I A H AR o APREA A AIJE Stub 网 络 连接 到 外 网 。NAT 在 边界 路 由 融 执 行 IP 地 址 
e TR 


12.1.3 NAT 概述 


NAT 典型 工作 在 存根 网 络 (Stub Network) 的 边 绿 ,由 边界 路 由 豆 ( 局 域 网 网 症 ) 执 行 
NAT 功能 。 

NAT 是 将 局 域 网 内 部 私有 IP 地 址 转化 为 公共 IP 地 址 的 转换 技术 , 它 被 广泛 应 用 于 各 
种 类 型 Internet 接 入 方式 和 各 种 类 型 的 局 域 网 中 。NAT 不 仪 完美 地 解决 了 IP 地 址 资源 不 
是 的 问题 ,而 且 还 能 够 有 效 地 人 避免 来 日 网 络 外 部 的 攻击 ,隐居 并 保护 局 域 网 络 内 部 的 网 络 设 
备 和 终端 主机 。 

网 络 地址 转换 是 一 个 过 程 ,而 不 是 一 个 结构 化 协议 。 具 体 地 说 ,NAT 可 以 动态 改变 通 
过 路 由 器 的 IP 数据 包 的 内 容 ( 修 改 数据 包 的 源 IP 地 址 和 /或 目的 IP 地 址 )。 离 开路 由 器 的 
数据 包 的 源 地 址 或 目的 地 址 会 转换 成 与 原来 不 同 的 地 址 。 这 种 功能 对 于 申请 了 少量 公共 
IP 地 址 空间 ,但 上 网 主机 的 数量 远 远 超过 了 公共 IP 地 址 数目 的 校园 网 .政务 网 .园区 网 等 
组 织 机 构 来 说 十 分 有 用 ,不 仅 可 以 降低 维护 公共 IP 地 址 的 成 本 ,而 且 可 以 阻止 外 部 网 络 直 
接 与 内 部 网 络 的 通信 从 而 达到 一 是 程度 上 的 安全 保证 。 


12.1.4 NAT 主要 功能 


NAT 主要 可 以 实现 以 下 几 方 面 功能 : 数据 包 伪 猴 .端口 转发 .负载 均衡 、 失 将 终结 和 透 
HRE, 
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COD 数据 包 和 伪装。 可 以 将 局 域 网 内 部 数据 包 中 的 私有 IP 地 址 信息 更 改 成 统一 的 对 外 
公共 IP 地 址 信息 ,不 让 内 网 主机 直接 暴露 在 互联 网 上 ,从 而 保证 内 网 主机 的 安全 。 同 时 ,该 
功能 也 和 常用 来 实现 共享 上 网 。 

(2) 交口 转发 。 当 内 网 主机 对 外 提供 服务 时 ,由 于 使 用 的 是 内 部 私有 IP 地 址 ,外 网 无 法 
直接 访问 。 因 此 ,需要 在 边界 路 由 郑 上 进行 端口 转发 ,将 特定 服务 的 数据 包 转 发 给 内 网 主机 。 

(3) 负载 均衡 。 目 的 地 址 转换 NATI 可 以 重 定 癌 一 些 服务 融 连接 到 其 他 随机 选 定 的 服 
35 38 E ,以 便 实 现 对 服务 希 访 问 的 负载 均衡 。 

(4) 失效 终结 。 目 的 地 址 转换 NAT 可 以 用 来 提供 高 可 靠 性 的 服务 。 如 果 一 个 系统 有 
一 台 通 过 路 由 需 访 问 的 关键 服务 融 , 一 旦 路 由 需 检 测 到 该 服务 需 主 机 , 它 就 可 以 使 用 该 目的 
地 址 来 转换 NAT, 并 透明 地 把 连接 转移 到 一 台 服 务 硕 上。 

(5) 透明 代理 。NAT 可 以 把 连接 到 互联 网 的 HTTP 连接 重 定 癌 到 一 台 指 定 的 HTTP 
代理 服务 器 以 缓存 数据 和 过 滤 请 求 。 一 些 互 联网 服务 提供 商 使 用 这 种 技术 来 减少 带宽 的 使 
用 ,而 不 用 让 客户 配置 浏览 絮 支 持 代理 连接 。 

根据 内 部 本 地 地 址 和 内 部 全 局 地 址 之 间 的 映射 转换 关系 ,可 以 将 NAT 分 为 静态 
NAT 动态 NAT Mim O ES PAT 三 种 ,下 面 将 分 别 从 工作 原理 和 配置 方法 两 方面 进行 详 
细 曾 述 , 最 后 髓 给 出 典型 应 用 的 案例 分 析 。 


12.2 静态 NAT 原理 与 配置 方法 


本 节 主 要 介绍 静态 NAT 的 工作 原理 与 配置 方法 。 
12.2.1 B$zx NAT 原理 


在 设置 .运行 NAT WA Hiss NAT fé Hi a8) P, 204 Ja X, 9d 2 s DJ OX Tz XS t, NAT 
可 以 转换 数据 包 中 包头 部 分 的 IP 地 址 和 TCP/ UDP 数据 段 的 端口 号 NAT 路 由 器 至 少 要 
有 一 个 内 部 (Inside) 接 口 和 一 个 外 部 COutside) 接 口 ,内 部 接口 连接 内 网 的 防火 墙 、 核心 交换 
机 等 内 部 设备 和 用 户 , 外 部 接口 一 般 连 接 到 互联 网 。 当 IP 数据 包 离 开 内 部 网 络 时 ,NAT ff 
责 将 内 网 IP 源 地 址 (通常 是 私有 IP 地址) 转换 为 合法 的 公共 IP 地 址 ; 当 IP 数据 包 从 外 网 
想 要 进入 内 网 时 ,NAT 路 由 兹 检查 NAT 表 , 将 合法 的 公共 IP 地 址 转换 为 对 应 内 网 的 私有 
IP 源 地 址 。 

静态 NAT 要 求 将 内 部 本 地 地 址 (私有 IP 地 址 ) 与 内 部 全 局 地 址 (公共 IP 地 址 ) 进 行 一 
对 一 的 明确 转换 。 这 种 方法 主要 用 在 局 域 网 内 部 有 需要 对 外 提供 服务 的 服务 器 上 ,如 学 校 
的 门户 网 站 WWW 服务 器 .电子 邮件 Email 服务 器 ,域名 系统 DNS 服务 器 等 ,这 些 服务 器 
需要 对 外 提供 服务 ,被 校外 的 主机 访问 到 。 这 些 服务 需 在 校园 网 内 部 也 使 用 私有 IP 地 址 ， 
但 学 校 需要 问 NIC 或 ISP 为 每 台 对 外 提供 服务 的 服务 大 申请 一 个 公共 IP 地 址 ,采用 静态 
NAT 的 方式 建立 一 对 一 映射 关系 ,以 便 外 部 用 户 可 以 使 用 这 些 网 络 服务 。 如 图 12-2 所 示 ， 
学 校门 户 网 站 WWW. 服务 器 使 用 的 内 部 私有 IP 地 址 为 10. 128. 0. 243 ,为 其 申请 的 公共 IP 
地 址 是 125.77. 121. 2; Email 服务 更 使 用 的 内 部 私有 IP. 地 址 为 10. 128. 0. 245 ,为 其 申请 的 
公共 IP 地 址 是 125.77.121.3; DNS RS ik HH HJ I RAE IP 地 址 为 10. 128. 0. 249, 为 其 
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图 12-2 静态 NAT 工作 原理 


申请 的 公共 IP 地 址 是 125. 77. 121. 4。 

在 边界 NAT 路 由 需 配 置 好 了 静态 NAT 协议 之 后 , 当 WWW 服务 器 访问 外 网 主机 时 ， 
NAT 路 由 器 将 其 数据 包 的 源 IP 地 址 由 10. 128. 0. 243 转换 为 125. 77. 121. 2. 目的 地 址 保 
持 不 变 , 然 后 发 送 到 外 网 ,并 把 这 个 转换 写 人 NAT 转换 表 , 当 外 面 主机 的 数据 包 返 回 
WWW 服务 着 时 ,NAT 路 由 天 检查 NATI 表 ,将 返回 的 数据 包 目 标 IP 地 址 125. 77. 121. 2 
转换 成 局 域 网 内 部 地 址 10. 128. 0. 243, 从 而 返回 给 服务 器 。 外 部 主机 A 要 访问 学 校 WWW 
服务 器 时 ,NAT 路 由 需 检 查访 问 请 求 数 据 包 的 目标 地 址 为 125. 77. 121. 2, 查 找 NAT 转换 
表 , 找 到 对 应 的 内 部 地 址 为 10. 128. 0. 243 ,将 访问 请 求 转发 给 WWW 服务 器 ,服务 器 返回 
的 数据 包 经 过 NAT 路 由 器 时 ,通过 检查 NAT 转换 表 , 将 源 IP 地 址 由 10. 128. 0. 243 转换 
为 125.77.121.2, 然 后 数据 包 路 由 给 外 部 主机 A. 

静态 NAT 方法 的 优点 是 能 够 提供 稳定 的 网 络 访问 服务 ,缺点 是 需要 独占 宝贵 的 公共 
IP 地 址 资源 ,如 果 某 个 公共 IP 地 址 已 经 被 定义 为 神态 NAT 地 址 转换 ,即使 该 地 址 当前 设 
有 被 使 用 ,也 不 能 被 用 作 其 他 类 型 的 地 址 转换 。 


12.2.2 ŽA NAT 配置 方法 

1. 拓扑 结构 图 

本 实验 的 拓扑 结构 图 如 图 12-2 所 示 ,学 校 校 园 网 有 三 人 台 需 要 对 外 提供 服务 的 服务 器 ， 
分 别 为 学 校门 户 网 站 WWW 服务 器 、Email 服务 器 和 DNS 服务 器 ,在 实际 校园 网 中 ,这 些 
服务 妖 一 般 部 署 在 防火 墙 的 DMZ 区 ,为 这 些 服 务 硕 提供 更 安全 的 数据 保护 。 

2. 实验 需求 

(1) 如 图 12-2 所 示 ,学 校门 户 网 站 WWW. 服务 天 使 用 的 内 部 私有 IP 地 址 为 10. 128. 0. 243. 
学 校 为 其 向 ISP 申请 的 内 部 全 局 地 址 为 125. 77. 121. 2; Email 服务 器 使 用 的 内 部 地 址 为 
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10. 128. 0. 245 ,为 其 申请 的 公共 IP 地 址 是 125. 77. 121. 3; DNS 服务 器 使 用 的 内 部 地 址 为 
10. 128. 0. 249 ,为 其 申请 的 公共 IP 地 址 是 125. 77. 121. 4, 

(2) 在 边界 NAT 路 由 器 上 配置 合适 的 命令 ,实现 上 述 服 务 器 的 静态 NAT 转换 ,以 便 
外 网 主机 能 够 访问 到 这 三 台 服 务 需 。 

(3) 使 用 相关 命令 查看 NAT 地 址 转换 过 程 。 


3. 实验 操作 


因为 NAT 主要 在 边界 路 由 器 上 进行 配置 ,所 以 主要 考察 边界 路 由 器 。 首 先 配 置 NAT 
接口 ,然后 配置 静态 NAT, 再 配置 指向 外 网 的 默认 中 由。 
(1) 配置 NAT 接口 。 


Router(config) # name NATStatic // 设 置 NAT 路 由 器 名 称 
NATStatic(config) # int s0/0/0 // 给 外 部 接口 设置 公共 IP 地 址 
NATStatic{config-if)# ip address 125.77.121.1 255.255.255.0 

NATStatic(config- if) ip nat outside // 指 定 为 NAT 外 部 接口 
NATStatic(config- if) no shut 

NATStatic(config-if) H int fa0/0 // 给 内 部 接口 设置 私有 IP 地 址 
NATStatic(config-if)it ip address 10.128.0.254 255.255.255.0 

NATStatic(config-if) f ip nat inside / /指定 为 NAT ARN 


NATStatic(config- if) 4 no shut 


(2) BOE BEES NAT, 
在 全 局 配置 模式 下 进行 静态 NAT BOB: 


NATStatic(config) # ip nat inside source static 10.128.0.243 125. 77.121.2 / {WWW 
NATStatic(config) # ip nat inside source static 10.128.0.245 125. 77.121.3 / / Email 
NATStatic(config) # ip nat inside source static 10.128.0.249 125. 77.121.4 / /DNS 


(3) BOB SUA EHI. 


NATStatic(config) t ip route 0.0.0.0 0.0.0.0 125.77.121.254 // 配 置 默认 路 由 ,指向 ISP 路 由 器 


同 理 ,默认 路 由 也 需要 回程 路 由 ,在 ISP 路 由 问 上 ,配置 一 条 静态 路 由 ,目标 网 络 为 问 
ISP 申请 的 公共 IP 地 址 段 125. 77. 121.0/24, 指 向 NAT 路 由 器 的 外 部 接口 s0/0/0, 这 样 外 
部 主机 就 可 以 访问 校园 网 内 部 的 服务 需 了 。 


4. 实验 结果 分 析 


COD ARRIRA 3& ping 外 网 主机 地 址 时 ,在 NATStatic 路 由 器 上 使 用 debug ip nat 命 
令 ,查看 地 址 转换 信息 ,结果 如 下 : 


NATStatic# debug ip nat 

x Mar 4 02:02:12. 779: NAT * : s= 10.128. 0.243—» 125.77.121.2, d= 121.41. 74. 99 [20240] 
* Mar 4 02:02:12.791: NAT* : s= 121.41. 74.99, d= 125. 77. 121. 2-» 10. 128. 0. 243 [14435] 
(部 分 内 容 省 略 ) 

* Mar 4 02:02:25.563: NAT * : s= 10.128.0.249-> 125.77.121.4, d= 121.41.74.99 [25] 

* Mar 4 02:02:25.579: NAT * : $2 121.41. 74.99, d= 125. 77. 121. 4—» 10. 128. 0. 249 [25] 
(部 分 和 内容 省 略 ) 
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静态 NAT 的 转换 过 程 为 : 首先 , 当 WWW 服务 器 访问 外 部 主机 121. 41. 74. 99 时 ,处 
于 边界 的 NATStatic 路 由 需 将 访问 外 网 主机 的 数据 包 的 源 IP 地 址 (内 网 的 私有 地 址 ) 
10.128.0. 243 一 对 一 转换 成 公共 IP 地 址 125. 77. 121. 2; 然后 ,新 的 源 地 址 变 为 
125.77. 121.2, 由 该 地 址 访问 外 网 主机 的 目的 地 址 121. 41.74.99。 当 外 网 主机 121. 41. 74. 99 
返回 数据 包 时 ,NATStatic 路 由 右上 身 把 返回 数据 包 的 目的 公共 地 址 125. 77. 121. 2 转换 成 目 
的 私有 地 址 10. 128. 0. 243, 到 达 WWW 服务 器 。 

(2) Æ NATStatic 上 使 用 show ip nat translations 命令 ,查看 NAT 的 地 址 映射 表 , 结 
果 如 下 : 

NATStatic# show ip nat translations 

Pro Inside global Inside local Outside local Outside global 

- 125.77.121.2 10.128.0.243 - - - 


- 125.77.121.3 .10.128.0.245 - - - 
- 125. 77.121.4 310.128.0.249 - - - 


可 以 看 到 当 内 网 服务 天 访问 外 网 时 ,内 部 全 局 地 址 和 内 部 本 地 地 址 之 间 的 一 对 一 映射 
KR. WHS NAT EARD, EH EE. 


D. 常用 命令 总 结 


(1) show ip nat translations。 查 看 IP NAT 转换 条 目 时 ,可 能 看 到 很 多 包含 同一 目标 
地 址 的 转换 条 目 ,这 通常 是 由 于 有 很 多 到 同一 台 服 务 玫 或 外 部 主机 的 连接 。 显 示 转 换 表 ,其 
中 包含 所 有 活动 的 NAT H. 

(2) debug ip nat。 验 证 NAT 配置 ,在 该 命令 的 每 个 调试 输出 行 中 ,都 包含 发 送 地 址 、 
转换 条 目 和 目标 地 址 。 

(3) clear ip nat translation * 。 清 除 NAT 表 中 的 所 有 转换 条 目 。 

(4) show ip nat statistics。 显 示 NAT 配置 摘要 ,活动 转换 条 目 数 、 命 中 现 有 转换 条 目 
的 次 数 .没有 匹配 转换 条 目 (这 将 导致 试图 创建 新 转换 条 目 ) 的 次 数 以 及 到 期 的 转换 条 目 数 。 


6. 配置 总 结 


配置 静态 NAT 有 如 下 方面 需要 重点 关注 : 

CD 定义 私有 IP 地 址 和 公共 IP 地址 之 间 一 对 一 的 映射 关系 。 

(2) 定义 好 NAT 内 部 接口 和 外 部 接口 , 且 方 回 不 要 配置 错误 。 

如 果 已 定义 了 静态 NAT 命令 ,但 NAT 还 是 不 工作 , 则 确认 边界 NAT 路 由 需 的 每 个 
接口 下 面 所 定义 的 NAT 方 向 是 否 合 理 。 


12.3 动态 NAT 原理 与 配置 方法 
本 节 主 要 介绍 动态 NAT 的 工作 原理 与 配置 方法 。 


12.3.1 动态 NAT 原理 
动态 NAT 需要 借助 内 部 全 局 地 址 (公共 IP 地 址 ) 池 ,通过 该 地 址 池 , 将 内 部 本 地 地 址 
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与 内 部 全 局 地 址 进行 一 对 一 的 地 址 转换 。 与 议 态 NAT 不 同 的 是 ,动态 NAT 是 从 该 地 址 池 
中 动态 地 选择 一 个 未 使 用 的 公共 P 地 址 对 内 部 本 地 地 址 进行 转换 , 且 该 地 址 是 地 址 池 中 排 
在 最 前 面 的 一 个 。 当 数据 传输 完毕 后 ,路 由 硕 绸 将 使 用 完 的 内 部 全 局 地 址 返回 到 地 址 池 中 ， 
以 供 其 他 内 部 本 地 地 址 进行 转换 ,使 得 这 个 公共 IP 地 址 可 以 动态 循环 使 用 。 

需要 注意 的 是 ; 未 使 用 的 公共 IP 地 址 在 同一 时 刻 只 能 使 用 一 次 , 即 在 该 公共 IP 地 址 被 使 
用 时 ,不 能 用 该 地 址 再 进行 一 次 转换 。 因 此 ,当局 域 网 内 部 主机 需要 同时 上 网 的 数量 较 大 时 ens 
要 较 多 数量 的 内 部 全 局 地 址 ,对 于 一 个 单位 而 言 ,其 每 年 的 公共 IP 地 址 租赁 费用 就 比较 多 。 

如 图 12-3 所 示 ,默认 情况 下 ,局域网 内 部 的 私有 IP 地 址 是 无 法 被 外 面 互联 网 识别 和 路 
由 的 ,假如 信息 学 院内 部 主机 10. 136. 10. 2 要 访问 外 部 互联 网 的 某 数 据 库 服务 器 S, NAT 
路 由 天 采用 动态 NAT 转换 的 话 , 该 访问 请 求 包 到 达 边 界 路 由 器 执行 NAT 时 ,NAT 查找 申 
请 到 的 公共 IP 地 址 池 , 找 到 一 个 合法 的 公共 IP 地 址 125. 77. 120. 2 ,然后 将 IP 包头 的 源 地 
lib 10. 136. 10. 2 替换 成 公共 IP 地 址 125. 77. 120. 2 ,并 在 NAT 转发 表 中 保存 这 条 记录 。 人 外 
部 服务 需 S 发 送 回 一 条 应 答 数 据 包 到 学 院内 网 ,NAT 路 由 需 收 到 后 再 执行 NAT, 查 看 当前 
的 NAT 转换 表 , 将 公共 IP 地 址 125. 77.120. 2 转换 成 内 网 私有 IP 地 址 10. 136. 10. 2 ,然后 
将 数据 包 转 发 给 内 部 主机 。 


一 “一 -一 = 


10.136.10.3 


= Les 
; 
2 TE e 外 部 接口 ee , 
PEN uL o | 
AZ 边界 路 由 器 
10.136.10.2 NAT 路 由 器 数据 库 服务 器 8 
K “= 121.41.74.100 
Fd NATE 
A 内 部 全 局 地 址 
Pa 
| ! "dd 
10.136.10.] 2-77. 


= æ = m 


图 12-3 动态 NAT 转换 示例 


12.3.2 动态 NAT 配置 方法 
1. 拓扑 结构 图 


本 实验 的 拓扑 结构 图 如 图 12-3 所 示 ,学校 校 园 网 有 一 台 边 界 路 由 器 ,内 部 有 许多 主机 
需要 访问 外 网 。 

2. 实验 需求 

COD 如 图 12-3 所 示 ,学 校内 部 主机 使 用 的 私有 IP 地 址 段 为 10.136. 10. 0724 ,学 校 为 其 
ig] ISP 申请 的 内 部 全 局 地 址 为 125. 77. 120. 0/26, 

(2) 在 边界 NATI 路 由 需 上 配置 合适 的 命令 ,实现 内 部 主机 的 动态 NAT 转换 ,以 便 内 
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部 主机 能 够 访问 外 网 。 
(3) 使 用 相关 命令 查看 NAT 地 址 转换 过 程 。 


3. 实验 操作 


因为 NAT 主要 在 边界 路 由 器 上 进行 配置 ,所 以 主要 考察 边界 路 由 器 。 首 先 配 置 动态 
NAT, 然 后 将 配置 应 用 到 NAT 接口 , 青 配置 指向 外 网 的 默认 路 由 。 

(D 配置 动态 NAT. 

在 全 局 配置 模式 下 进行 动态 NAT BUE. 

Router(config) 4 name NATDynamic [O3 NAT fi H1 2825 PR 

NATDynamic (config) # ip nat pool NaTDynamic 125.77.120.1 125.77.120.60 netmask 255.255.255.192 

//5& X. Sp NAT 地 址 池 ,命名 为 NATDynamic, 7: dE IP 地 址 区 间 为 125. 77.120. 1— 125. 77.120. 60 

NATDynamic (config) # access-list 1 permit 10.136.10.0 0.0.0.255 // X. ACL, 允许 访问 外 网 的 内 部 

/ lE Heb Ez 
NATDynamic (config) # ip nat inside source list 1 pool NAIDynamic //;E X. ACL 与 地 址 池 的 关联 关系 


(2) 配置 NAT 接口。 


NATDynamic(config) # int s0/0/0 // 给 外 部 接口 设置 公共 IP 地 址 
NATDynamic(config- if) 4 ip address 125.77.120.61 255.255.255.192 

NATDynamic(config- if) 4 ip nat outside // 指 定 为 NAT 外 部 接口 
NATDynamic(config- if) 4 no shut 

NATDynamic(config- if) 3 int fa0/0 // 给 内 部 接口 设置 私有 IP 地 址 
NATDynamic(config- if) 4 ip address 10.136.10.254 255.255.255.0 

NATDynamic(config-if) & ip nat inside / [38 xg Jy NAT 内 部 接口 


NATDynamic(config- if) 4 no shut 


(3) 配置 默认 路 由 , 指 回 外 网 。 


NATDynamic(config) # ip route 0.0.0.0 0.0.0.0 125.77.120.62 // 配 置 默 认 路 由 ,指向 ISP 路 由 器 


同 理 ,默认 路 由 也 需要 回程 路 由 ,在 ISP 路 由 髓 上 ,配置 一 条 静态 路 由 ,目标 网 络 为 回 
ISP 申请 的 公共 IP 地 址 段 125. 77. 120.0/26, 指 向 NAT 路 由 器 的 外 部 接口 s0/0/0, 这 样 内 
部 主机 就 可 以 访问 外 网 啦 。 


4. 实验 结果 分 析 


CD 当 内 部 主机 ping 外 网 主机 地 址 121. 41. 74. 100 时 ,在 NATDynamic 路 由 器 上 使 用 
debug ip nat 命令 ,查看 地 址 转换 信息 ,如 下 所 示 : 


NATDynamic # debug ip nat 

IP NAT debugging is on 

NATDynamicit clear ip nat translation * /7/ 清除 动态 NAT 表 ,重新 生成 NAT R 
¥ Mar 4 01:34:23.075: NAT* : 8—10.1365.10.1—— 125. 77.120. 1, d= 121.41.74.100 [19833] 

x Mar 4 01:34:23. 087: NAT* : s= 121.41.74.100, d= 125. 77.120.1 -> 10.136.10.1 [62333] 
(部 分 内 容 省 略 ) 

< Mar 4 01:28:49.867: NATx¥x : s= 10.136.10.3 - >125.77.120.3, d= 121.41.74.100 [62864] 

x Mar 4 01:28:49.875: NAT* : s= 121.41.74.100, d= 125. 77.120. 3 ->10.136.10.3 [54062] 
(部 分 内 容 省 略 ) 
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注意 : 车 动态 NAT 地 址 池 中 没有 足够 的 公共 IP 地 址 作为 动态 映射 , 则 会 出 现 丢 包 的 
情况 ,表明 NAT 地 址 转换 失败 。 


* Apr 22 09:02:59.075: NAT: translation failed (A), dropping packet s = 10. 136. 10. 100 d= 
121.41.74.100 


(2) Æ NATDynamic Ef H z& E fii H show ip nat translations 查看 NAT 地 址 转换 列 


NATDynamicit show ip nat translations 


Pro Inside global Inside local Outside local Outside global tcp 
125. 77. 120.1 10.136. 10-1 121.41.74.100 121.41.74.100 
125.77.120.2 10.136.10.2 121.41.74.100 121.41.74.100 
125. 77.120.3 10. 136.10. 3 121.41.74.100 121.41.74.100 


当主 机 A 和 主机 B 等 第 一 次 访问 外 网 地 址 121. 41. 74. 100 的 时 候 ,NATDynamic H E 
机 A 和 主机 B 动态 分 配 两 个 全 局 IP 地 址 125. 77. 120. 1 和 125. 77. 120. 2 ,并 在 NAT 表 中 
生成 两 条 动态 映射 的 记录 。 在 动态 映射 过 期 (过 期 时 间 为 86 400s) 之 前 , 若 再 有 应 用 从 相同 
主机 发 起 ,NAT 路 由 希 可 以 直接 查 NAT 表 , 然 后 为 应 用 分 配 相 应 的 新 口号 ,而 无 须 重 新 映 
射 新 的 全 局 地 址 。 

(3) Æ NATDynamic 使 用 show ip nat statistics 时 ,可 以 查看 NAT 的 地 址 转换 统计 信 
E 


aps G 


5. 配置 总 结 


配置 动态 NAT 有 以 下 几 点 需要 重点 关注 : 

(1) 定义 公共 IP 地 址 池 ,注意 地 址 池 的 起 始 地 址 和 结束 地 址 。 

(2) 定义 好 访问 控制 列表 ,一般 配置 标准 ACL ,允许 内 部 的 某 个 或 多 个 子 网 ,注意 通 配 
符 掩 码 不 要 配 错 。 

(3) 定义 好 地 址 池 和 访问 控制 列表 的 关联 关系 ,告知 边界 路 由 硕 内 部 子 网 IP 和 地 址 池 
的 映射 关系 。 

(4) 定义 好 NAT 内 部 接口 和 外 部 接口 , 且 方 向 不 要 配置 错误 。 如 果 同 学 们 已 定义 了 动 
S NAT 命令 ,但 NAT 还 是 不 工作 , 则 确认 边界 NAT 路 由 器 每 个 接口 下 所 定义 的 NAT 方 
回 是 合 合 理 。 

(5) NAT 地 址 池 并 非 必须 与 边界 路 由 融 外 部 接口 上 所 配置 的 公共 IP 地 址 所 在 的 子 网 
相同 ,可 以 是 不 同 子 网 的 公共 IP 地 址 。 


12.4 端口 复 用 PAT 原理 与 配置 方法 


本 节 主 要 介绍 端口 复 用 PAT 的 工作 原理 与 配置 方法 。 
12.4.1 端口 复 用 PAT 原理 


Xu O A FH pz d BER A xus O d ib 748 (Port Address Translation, PAT) ,是 一 种 特殊 的 动 
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态 NAT, 其 内 部 全 局 地 址 池 中 只 有 一 个 公共 IP 地 址 ,局 域 网 内 部 主机 通过 不 同 端口 号 复 用 
这 一 个 公共 IP 地 址 实现 NAT 转换 。NAT 路 由 兹 将 通过 记录 IP H ht, M Hd TET ài F1 5E ME 
一 标识 一 个 地 址 转换 ,通过 这 种 转换 ,可 以 使 多 个 内 部 本 地 地 址 同时 与 同一 个 内 部 全 局 地 址 
进行 转换 并 对 外 部 网 络 进行 访问 。 这 对 于 只 申请 到 少量 公共 P 地 址 甚至 只 有 一 个 公共 IP 
地 址 ,但 却 有 很 多 内 部 用 户 同 时 要 求 访 问 外 网 的 需求 时 ,这 种 PAT 转换 方式 非常 实用 。 理 
想 情 况 下 ,一 个 单一 的 公共 IP 地 址 可 以 同时 为 4000 台 内 部 主机 提供 PAT 转换 服务 。 

接 下 来 看 一 个 更 复杂 的 实例 ,如 图 12-4 所 示 ,边界 路 由 需 执行 NAT 时 ,使 用 端口 复 用 
PAT 的 转换 方法 ,通过 该 方法 转换 后 的 所 有 局 域 网 内 部 主机 都 使 用 同一 个 公共 IP 地 址 
125.77.120.2。 目前 ,可 用 的 互联 网 公共 IP 地 址 之 所 以 没有 耗 尽 ,主要 是 因为 有 了 端口 复 
HEPAT JE., Æ NAT 表 中 , 除 内 部 本 地 IP 地 址 和 外 部 全 局 IP 地 址 外 , 它 还 包括 端口 
号 ,PAT 能 够 使 用 传输 层 端 口号 来 标识 局 域 网 本 地 的 每 一 台 主 机 。 这 些 端 口号 能 够 让 
NAT 路 由 絮 确 定 应 该 将 返回 的 数据 包 精 确 转 发 给 局 域 网 内 部 的 哪 台 主机 。 


10.136.10.3 


10.136.10.2 125.77.120.2 ( 
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10.136.10.2 NATER H ZR 
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T 
/ : Ed f | à ] 
f No: p 
Fi E 
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: ^ NATE 
^ FB AH HI E: [1 AREE Fs HAB En O AB Fed Ep HE zug O 
10.136.10.3:1823 125.77.120.2:1823 121.41.74.3:123 


deer 10.136.10.2:1723 125.77.120.2:1723 121.41.74.3:120 


图 12-4 ”端口 复 用 PAT 示例 


12.4.2 端口 复 用 PAT 配置 方法 
1. 拓扑 结构 图 


本 实验 的 拓扑 结构 图 如 图 12-4 所 示 ,学 校 校 园 网 有 边界 路 由 器 和 和 若干 内 部 主机 ,内 部 
主机 需要 通过 边界 路 由 天 访 问 外 网 。 

2. 实验 需求 

(OD 如 图 12-4 所 示 ,学 校内 网 使 用 私有 IP 地 址 段 10. 136. 10. 0/24.2 Ez If] ISP. 申请 到 
唯一 的 一 个 公共 IP 地 址 125. 77. 120.2, 内 部 主机 需要 通过 边界 路 由 器 访问 外 网 。 


(2) 在 边界 NAT 路 由 天 上 配置 合适 的 命令 ,实现 端口 映射 PAT 转换 ,以 便 内 部 主机 
能 够 访问 外 网 。 
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(3) 使 用 相关 命令 查看 NAT 地 址 转换 过 程 。 
3. 实验 操作 


因为 NAT 主要 在 边界 路 由 器 上 进行 配置 ,所 以 主要 考察 边界 路 由 器 。 首 先 配 置 PAT， 
然后 将 其 应 用 到 边界 路 由 器 接口 , 青 配置 指 问 外 网 的 默认 路 由 。 

(1) EE PAT. 

在 全 局 配置 模式 下 进行 PAT 配置 : 

Router(config) # name PAT //ix '& PAT 路 由 器 名 称 

PAT(config) # ip nat pool PAT 125.77.120.2 125.77.120.2 netmask 255.255.255.0 

//; X. PAT 地 址 池 , 命 名 为 PAT, 唯一 的 公共 IP 地 址 : 125. 77.120.2 

PAT (config) # access-list 1 permit 10.136.10.0 0.0.0.255// 定 义 允 许 访问 外 网 的 内 部 私有 地 址 段 

PAT(config)# ip nat inside source list 1 pool PAT overload 


//3E X. ACL 与 地 址 池 的 关联 关系 ,overload 表示 开启 重 载 L9 oO A Hj PAT 


(2) 配置 PAT 接口 。 


PAT(config) # int s0/0/0 // 给 外 部 接口 设置 公共 IP 地 址 
PAT(config-if)# ip address 125.77.120.2 255.255.255.0 

PAT(config- if) ip nat outside // 指 定 为 PAT 外 部 接口 
PAT(config-if) it no shut 

PAT(config-if) £& int fa0/0 // 给 内 部 接口 设置 私有 IP 地 址 
PAT(config-if)it ip address 10.136.10.254 255.255.255.0 

PAT(config-if) it ip nat inside // 指 定 为 PAT 内 部 接口 


PAT(config- if) no shut 


(30 配置 默认 路 由 , 指 癌 外 网 。 


PAT(config) # ip route 0.0.0.0 0.0.0.0 125.77.120.254  // 配 置 默 认 中 由 ,指向 ISP 路 由 器 


4. 实验 结果 分 析 


CD 当 内 部 主机 ping 外 网 主机 地 址 121. 41. 74. 3 时 ,在 PAT 路 由 器 上 使 用 debug ip 
nat 命令 ,查看 地 址 转换 信息 ,如 下 所 示 : 


Mar 4 01:53:47.983: NAT * : s= 10.136.10.3 ->125.77.120.2, d= 121.41.74.3 [ 20056] 

x Mar 4 01:53:47.995: NAT* : s= 121.41. 74.3, d= 125. 77.120.2 ->10.136.10.3 [ 46201 ] 
(部 分 内 容 省 略 ) 

x Mar 4 01:54:03.015: NAT * : s= 10.136. 10.2 ->125.77.120.2, d= 121.41.74.3 [20787] 
x Mar 4 01:54:03.219: NAT * : s= 121.41. 74.3, d= 125. 77.120.2 -> 10. 136. 10.2 [12049] 
(部 分 内 容 省 略 ) 


上 述 结 果 显 示 , 内 部 主机 访问 外 网 时 ,转换 的 内 部 全 局 地 址 均 为 125. 77. 120. 2, 
(2) RI 查看 NAT 地 址 转换 表 , 结 果 如 下 : 


PAT# show ip nat translations 

Inside global Inside local Outside local Outside global 
10.136. 10. 3:1823 125.77.120.2:1823 121.41.74.3:123 tep 121.41. 74.3:123 
10.136. 10.2:1723 125. 77.120. 2:1723 - 121.41. 14.3: 120 icmp 121.41. 74.3:120 
10.136. 10. 1:1024 125.77.120.2:1024 63.40.17.3:121 tep 63.40.17.3:121 
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上 述 结果 显示 ,内 部 主机 访问 外 网 时 ,转换 的 内 部 全 局 地 址 均 为 125. 77. 120. 2。 但 针 
对 不 同 的 应 用 ,端口 号 会 不 同 。 

(3) 注意 动态 NAT 的 过 期 时 间 是 86 400s ,PAT 的 过 期 时 间 是 60s, 可 以 通过 下 面 的 命 
令 来 修改 过 期 时 间 ， 


PAT(config) ip nat translation timeout timeout 


当主 机 的 数量 不 多 ,可 以 直接 使 用 接口 地 址 配置 PAT, 不 必定 义 地 址 池 ,命令 如 下 : 


PAT(config) # ip nat inside source list 1 interface s0/0/0 overload 


D. 配置 总 结 


配置 PAT 有 以 下 几 点 需要 重点 关注 : 

(1) 定义 公共 IP 地 址 池 ,注意 地 址 池 的 起 始 地 址 和 结束 地 址 相同 ,表示 只 有 一 个 唯一 
的 公共 IP 地 址 。 

(2) 定义 好 访问 控制 列表 ,一 般配 置 标准 ACL ,人 允许 内 部 的 某 个 或 多 个 子 网 ,注意 通 配 
符 掩 码 不 要 配 错 。 

(3) 定义 好 地 址 池 和 访问 控制 列表 的 关联 关系 ,告知 边界 路 由 器 允许 哪个 内 部 子 网 IP 
映 冉 到 唯一 的 公共 IP 地 址 上 。 相 比 动态 NAT. AR iu overload, 

(4) 定义 好 NAT 内 部 接口 和 外 部 接口 , 且 方 辐 不 要 配置 错误 。 如 果 同 学 们 已 定义 了 动 
A NAT 命令 ,但 NAT 还 是 不 工作 , 则 确认 边界 NAT 路 由 上 需 每 个 接口 下 面 所 定义 的 NAT 
Jj mne ui. 

(5) 边界 路 由 器 外 部 接口 上 所 配置 的 公共 IP 地址 通常 就 是 用 来 PAT 的 地 址 , 即 地 址 
池 中 定义 的 地 址 。 


42.5 NAT 典型 应 用 分 析 


下 面 通过 4 个 具体 的 应 用 场景 分 析 NAT 的 典型 应 用 ,主要 从 应 用 场景 分 析 、NAT 类 
型 分 析 NAT 配置 方法 .命令 分 析 等 方面 亲 述 NAT 在 不 同 应 用 场景 下 的 强大 功能 ， 


12.5.1 网 吧 组 网 项 目 
1. 项 目 介绍 


高 新 园区 有 座 写 字 楼 ,写字 楼 里 面 有 一 个 网 吧 公 司 , 规 模 中 等 ,大 概 有 250 台 主 机 ,还 有 
其 他 许多 初创 的 小 公司 ,这 些 公 司 虱 需要 租用 互联 网 络 服 务 提供 商 (ISP), 如 中 国电 信和 ,中 
国联 通 或 中 国 移动 。 

在 网 吧 公 司 的 组 网 中 ,使 用 一 台 具 有 两 个 快速 以 太 网 接口 的 Cisco P$ H 88 «TE 23 Io PEL 37] 
界 路 由 器 承载 NAT 功能 ,fa0/0 连接 到 网 吧 内 部 网 络 , 而 fa0/1 则 连接 到 另外 一 个 局 域 网 网 
段 ,网 吧 公 司 、 其 他 初创 公司 和 ISP 路 申 希 共享 该 网 段 , 如 图 12-5 所 示 。 在 网 吧 内 部 网 络 
中 ,使 用 192. 168. 10. 0/24 地 址 空间 中 的 TP 地 址 ,网 吧 公 司 向 ISP. 申请 的 公共 IP 地 址 块 为 
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125.77. 121.0/24。 网 吧 公 司 路 由 器 的 接口 fa0/1 使 用 IP 地 址 125. 77. 121. 1. fi ISP 路 由 
天 接口 则 使 用 IP 地 址 125. 77. 121.2, 而 将 那些 从 125. 77. 121. 3— 254/24 的 地 址 区 间 全 部 
留 给 网 吧 内 部 主机 做 NAT 转换 。 


互联 网 
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图 12-5 网 吧 组 网 NAT 应 用 示例 


网 吧 公 司 硕 望 网 络 管理 员 在 边界 路 由 顺 上 配置 相关 命令 ,以 使 其 内 部 主机 能 够 使 用 癌 
ISP 申请 的 公共 IP 地 址 空间 中 的 全 局 可 路 由 地 址 ,以 访问 Internet 互联 网 。 


2. NAT 设计 


网 吧 公 司 的 主机 具有 使 用 率 高 、 使 用 时 间 长 ,用户 以 玩 大 型 网 络 游戏 为 主 等 特征 ,因此 ， 
主机 配置 高 ,性 能 好 。 此 外 ,还 有 重要 一 点 就 是 都 需要 快速 稳定 上 网 。 该 网 吧 公 司 主机 大 
概 250 台 左 右 ,正好 一 个 /24 的 地 址 块 够 用 。 由 于 网 吧 效 益 好 和 鱼 利 大 ,老板 为 了 客户 获得 
较 好 的 体验 也 愿意 为 网 络 服 务 投资 , 故 向 ISP 申请 了 一 个 /24 的 公共 IP 地 址 块 用 于 NAT. 
鉴于 以 上 分 析 ,网 吧 管 理 员 采 用 动态 NAT 转换 比较 合适 。 


3. 配置 方法 


1 NATWangba(config) # ip nat pool wangba 125.77.121.3 125.77.121.254 netmask 255.255.255.0 
2 NATWangba(config) # access-list 10 permit 192.168.10.0 0.255.255.255 
3 NATWangba(config) # ip nat inside source list 10 pool wangba 

4 NATWangba(config) # interface fa0/0 

5 NATWangba(config- if) i ip address 192.168.10.254 255.255.255.0 

6 NATWangba(config- if) it no shutdown 

7 NATWangba(config- if) 5 ip nat inside 

8 NATWangba(config) # interface fa0/1 

9 NATWangba(config-if)it ip address 125.77.121.1 255.255.255.0 

10 NATWangba(config- if) 井 no shutdown 

11 NATWangba(config- if) 4 ip nat outside 


4. 配置 命令 分 析 


上 述 配置 的 前 3 行 命令 为 动态 NAT 主体 配置 命令 ,根据 前 面 场 景 介 绍 ,125. 77. 121. 1 
和 125. 77. 121. 2 两 个 地 址 分 别 用 于 网 吧 边 界 NAT 路 由 器 外 部 接口 fa0/1 fI ISP ik H Atk 
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口 ,所 以 用 于 定义 动态 NAT 地 址 池 的 起 始 公 共 IP 地 址 是 125. 77. 121. 3, 结束 地 址 为 
125. 77. 121. 254, 

第 1 行 首 先 定 义 存 放 内 部 全 局 地 址 的 NAT 池 ,命名 wangba。 由 于 125. 77. 121. 1 和 
125. 77. 121. 2 这 两 个 地 址 和 动态 NAT 地 址 池 所 在 的 子 网 是 同一 子 网 地 址 ,所 以 NAT 路 
由 器 可 以 使 用 自己 的 MAC 地 址 回答 来 自 ISP 路 由 器 的 ARP 请 求 , 这 就 允许 ISP 路 由 器 从 
动态 NAT 地 址 池 中 解析 出 IP 地 址 ,并 使 用 从 动态 NAT 地 址 池 中 取出 的 目的 IP 地 址 将 数 
据 包 发 送 给 网 吧 边 界 NAT Pt HH Ae, T HE AEA 8] B EA H AF o 

第 2 行 定义 访问 控制 列表 ,这 里 允许 所 有 来 日 网 络 192. 168. 10. 0/24 的 主机 能 够 通过 
NAT 访问 外 网 ,所 以 配置 标准 ACL 即 可 , 表 号 这 里 定义 为 10, 操 作为 permit, 人 允许 来 日 
192. 168. 10. 0/24 的 所 有 数据 包 。 

第 3 行 定义 NAT 地 址 池 和 标准 ACL 的 关联 关系 ,将 ACL 允许 的 内 部 私有 IP 地 址 映 
射 到 公共 IP 地 址 池 的 可 路 由 地 址 上 ,为 实现 NAT 做 好 准备 。 

配置 好 动态 NAT 之 后 , 接 下 来 要 将 NAT 配置 应 用 到 边界 NAT 路 由 需 的 接口 上 。 

第 4 一 7 行 , 进 入 到 内 部 接口 fa0/0 模式 下 ,配置 好 私有 IP 地 址 ,定义 NAT 入 口 方 向 ， 
ip nat inside. Jj NAT 内 部 接口 。 

第 8 一 11 行 ,进入 到 外 部 接口 fa0/1 模式 下 ,配置 好 公共 IP 地 址 ,定义 NAT 出 口 方向 ， 
ip nat outside. 7j NAT 外 部 接口 。 

注意 : 如 果 不 将 NAT 路 由 器 的 接口 明确 定义 为 一 个 NAT 内 部 或 NAT 外 部 接口 ,或 
者 定义 的 不 正确 , 则 NAT 就 不 能 正常 工作 。 如 果 不 定义 NAT 接口 ,NAT 根 本 不 工作 ,并 
且 使 用 debug ip nat detail 命令 也 不 会 输出 任何 结果 。 


12.5.2 校园 网 项 目 
1. 应 用 环境 介绍 


大 学 校园 网 规模 庞大 ,内 部 师 生 均 有 访问 Internet 的 需求 。 在 校园 网 内 部 ,有 多 种 服务 
胡 需 要 对 外 提供 服务 ,要求 能 够 从 Internet 访问 到 门户 网 站 WWW 服务 天 .邮件 Email 服 
务 器 ,还 有 DNS 服务 器 、 图 书馆 数据 库 系 统 等 ,以 便 那些 能 够 浏览 Web 的 用 户 能 够 了 解 学 
校 , 也 方便 教师 在 家 或 者 出 差 时 能 够 访问 学 校 相关 部 门 和 数据 库 。 这 些 需 要 对 外 提供 服务 
的 服务 器 通常 位 于 内 部 网 络 中 防火 墙 的 DMZ, 并 且 能 够 从 Internet 上 的 任 一 主机 访问 该 
DMZ 区 内 的 所 有 服务 器 ,如 图 12-6 所 示 。 因 学 校 需要 上 网 的 师 生 非常 多 , 且 对 外 提供 服务 
的 服务 器 数量 也 比较 多 ,所 以 特 向 ISP 申请 了 125. 77. 110. 0/24 的 地 址 块 作 为 内 部 全 局 地 
址 。 边 界 NAT 路 由 器 快速 以 太 网 接口 fa0/0 连接 到 内 部 网 络 , 而 串 行 接口 so/0/1 则 通过 
PPP 链 路 连接 到 ISP 路 由 硕 。 在 校园 网 内 部 网 络 中 ,使 用 10.128.0.0716 中 的 地 址 ,有 些 是 
再 继续 子 网 化 之 后 的 地 址 ,而 内 部 全 局 地 址 池 中 的 公共 IP 地 址 范围 是 125. 77. 110. 0/24。 
在 该 校园 网 中 ,将 假定 ISP 使 用 静态 路 由 来 找到 路 由 兹 ,其 中 路 由 强 地 址 在 125. 77. 110. 0/24 
b hi vis FL P ,并且 ISP 将 该 路 由 传送 到 互联 网 Internet E. 


2. NAT 设计 


校园 网 属于 大 型 局 域 网 ,需要 对 外 提供 服务 的 服务 器 比较 多 ,单纯 对 内 提供 服务 的 服务 
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图 12-6 校园 网 NAT 应 用 示例 


艇 也 比较 多 ,针对 NAT 拉 术 ,主要 考虑 对 外 提供 服务 的 服务 硕 , 位 于 防火 场 的 DMZ, 这 是 
一 个 安全 区 域 ,一 般 敌 手 无 法 攻击 该 区 域内 的 网 络 设备 ,以 确保 服务 郑 稳 定 对 外 提供 服务 。 
这 些 服务 需 需要 采用 静态 NAT 建立 一 对 一 映射 关系 ,假设 内 部 的 Web 服务 器 和 Email 服 
务 需 所 分 配 的 私有 IP 地 址 为 10. 128. 10. 100 和 10. 128. 10. 101 ,由 于 Web 服务 器 和 Email 
服务 需 必 须 能 够 通过 Internet 来 访问 ,所 以 从 服务 需 请 求 的 数据 包 的 源 私 有 IP 地 址 在 转发 
给 ISP 路 由 器 之 前 ,必须 在 校园 网 边界 的 NAT 路 由 器 上 被 转换 成 内 部 全 局 地 址 ,网 络 管理 
员 分 别 为 Web 服务 器 和 Email 服务 器 分 配 125. 77. 110. 100 和 125. 77. 110. 101 作为 其 
NAT 转换 的 内 部 全 局 地 址 。 另 外 ,还 需要 将 125. 77. 110. 1 分 配给 NAT 路 由 絮 的 外 部 接 
口 s0/0/0.,3 125. 77. 110. 254 保留 给 ISP 路 由 器 使 用 ,除了 这 4 个 地 址 外 ,全 局 地 址 池 的 其 
他 公共 TP 地 址 可 以 供 校园 网 内 部 师 生 的 主机 和 服务 器 采用 动态 NAT 的 方式 实现 地 址 转 


换 和 访问 互联 网 的 需求 。 震 要 注意 的 是 ,从 内 部 全 局 地 址 池 的 中 间 拿 出 来 2 个 公共 IP 地 址 


分 配给 服务 天 ,将 原来 一 个 大 的 地 址 区 间 分 成 了 两 个 地 址 区 间 ,在 定义 动态 NAT 地 址 池 时 


3. 配置 方法 


1 NATUniversity(config) # ip nat inside source static 10.128.10.100 125. 77.110.100 
/ /Web 静态 NAT 转换 

2 NATUniversity(config) # ip nat inside source static 10.128.10.101 125. 77.110.101 
//Enail 静态 NAT 转换 

3 NATUniversity(config) # ip nat pool university prefix- length 24 address 125. 77.110.2 125. 

77. 110.99 

address 125.77.110. 102 125.77.110. 253 

4 NATUniversity(config) # access-list 10 permit 10.128.0.0 0.0.255.255 

5 NATUniversity(config) 4 ip nat inside source list 10 pool university 

6 NATUniversity(config) # interface fa0/0 

7 NATUniversity(config- if) & ip address 10.128.10.254 255.255.255.0 

8 NATUniversity(config- if) f$ ip nat inside 
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9 NATUniversity(config—if)# no shut 

10 NATUniversity(config) 4 interface s0/0/0 

11 NATUniversity(config- if) $ ip address 125.77.110.1 255.255.255.0 
12 NATUniversity(config- if) 3 ip nat outside 

13 NATUniversity(config- if) & no shut 


4. 配置 命令 分 析 


上 述 配 置 的 前 2 行 命令 为 静态 NAT 配置 命令 ,分 别 将 Web 服务 器 和 Email 服务 器 的 
内 部 私有 IP 地 址 一 对 一 映射 到 申请 的 公共 IP 地 址 125. 77. 110. 100 和 125. 77. 110. 101, 

因为 上 述 两 个 地 址 位 于 内 部 全 局 地 址 池 的 中 间 , 所 以 将 地 址 池 分 成 了 两 个 不 同 的 地 址 
w HS]. SES Cisco 扩展 了 NAT 语法 ,可 以 拆 分 NAT 地 址 池 所 用 的 公共 IP Heb ye Hl. 8 
3 一 5 行 命令 定义 动态 NAT, 首 先 定 义 了 两 个 不 同 的 内 部 全 局 地 址 范围 : 125. 77. 110. 2 一 
125. 77. 110. 99 ,以 及 125. 77. 110. 102—125. 77. 110. 253 ,这 些 地 址 从 总 的 地 址 块 里 去 掉 首 
尾 两 个 和 中 间 两 个 剩 下 的 地 址 ,注意 prefix-length 24 命令 表示 前 组 长 度 为 24, 即 IP 地 址 中 
的 /24 的 含义 ,等 同 于 子 网 掩 码 为 255. 255. 255.0; 然后 定义 允许 内 部 主机 的 标准 ACL., i 
许 内 部 10. 128. 0.0/16 的 地 址 块 进行 动态 NAT 转换 ; 再 定义 ACL 和 地 址 池 的 关联 关系 。 

第 6 一 9 行 配 置 NAT 路 由 问 的 内 部 接口 fa0/0, 设 置 IP 地 址 为 10. 128. 10.254, 作 为 内 
部 主机 网 关 , 指 定 NAT 内 部 接口 ,ip nat inside, 

"B 10 一 13 MA NAT Fit FH gs HJ PRSE HI s0/0/0, 设 置 IP 地 址 为 125.77.110.1, 和 外 部 
ISP Ef h A tHE. ti E NAT 外 部 接口 ,ip nat outside, 


12.5.3 初创 企业 项 目 
1. 应 用 环境 介绍 


在 软件 园 中 新 成 立 一 家 小 型 软件 开发 公司 ,规模 不 大 , 刚 开 始 只 有 十 多 个 员工 ,但 内 部 
有 一 台 Web 服务 器 ,作为 公司 的 门户 网 站 对 外 宣传 公司 产品 和 企业 文化 ,还 有 一 台 FTP 服 
务 器 供 员 工 在 办 公 室 或 出 差 在 外 地 访问 。 

该 初创 公司 使 用 一 台 Cisco 路 由 器 ,将 快速 以 太 网 接口 fa0/0 连接 内 网 交换 机 再 连接 内 
部 员工 主机 ,将 串 行 接口 s0/0/0 通过 PPP 链 路 连接 到 ISP 路 由 器 。 如 图 12-7 所 示 ,在 内 部 
网 络 中 ,公司 使 用 192. 168. 100. 0/24 地 址 范围 内 的 地 址 。 因 公司 规模 小 ,资金 不 是 很 充裕 ， 
老板 仅 从 ISP 申请 了 一 个 单一 的 全 局 可 路 由 的 公共 IP 地 址 125. 77. 100. 1。 公 司 硕 望 能 够 
从 Internet 互联 网 访问 到 公司 内 部 的 FTP 和 Web 服务 器, 并 且 对 Web 服务 器 的 请 求 应 被 
送 到 Web 服务 器 所 在 的 内 部 地 址 192. 168. 100. 100. 而 FTP 请 求 则 被 送 到 FTP 服务 器 所 
在 的 内 部 地 址 192. 168. 100. 101, 


2. NAT 设计 


因 该 公司 仅 申 请 了 一 个 唯一 的 公共 IP 地 址 ,因此 该 地 址 必须 应 用 于 执行 NAT 功能 的 
Zx 8] 31 7 Pit H Ar HJ P SB ER ITH s0/0/0 上 。 男 外 ,唯一 的 公共 IP 地 址 要 实现 公司 所 有 内 
部 主机 访问 互联 网 ,只 能 选用 PAT 技术 ,PAT 能 够 将 其 所 有 的 内 部 本 地 地 址 转换 成 单一 的 
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图 12-7 初创 公司 NAT 应 用 示例 


内 部 全 局 地 址 125. 77. 100. 1 ,需要 注意 的 还 有 两 台 需 要 对 外 提供 服务 的 服务 硕 Web 和 
FTPE ,所 以 还 需要 采用 和 普通 静态 NAT 有 所 区 别 的 静态 NAT, 


3. 配置 方法 


1 NATEnterprise(config) # ip nat pool enterprise 125.77.100.1 125.77.100.1 netmask 255.255. 
255.0 

2 NATEnterprise(config) # access-list 10 permit 192.168.100.0 0.255.255.255 

3 NATEnterprise(config) # ip nat inside source list 10 pool enterprise overload 

4 NATEnterprise(config) # ip nat inside source static tcp 192.168.100.100 80 125. 77.100.1 80 
/ / Web 

5 NATEnterprise(config) 4 ip nat inside source static tcp 192.168.100.101 21 125. 77. 100.1 21 
/ /FTP 

6 NATEnterprise(config) 4 interface fa0/0 

7 NATEnterprise(config- if) & ip address 192.168.100.1 255.255.255.0 

8 NATEnterprise(config- if) f$ ip nat inside 

9 NATEnterprise(config- if) # no shut 

10 NATEnterprise(config) # interface s0/0/0 

11 NATEnterprise(config- if) & ip address 125.77.100.1 255.255.255.252 

12 NATEnterprise(config- if) 4 ip nat outside 

13 NATEnterprise(config- if) & no shut 


4. 配置 命令 分 析 


上 述 配 置 的 第 1 一 3 行 命 令 为 PAT 配置 命令 ,和 动态 NAT 相似 ,只 是 地 址 池 的 起 始 地 

址 和 结束 地 址 均 为 公司 申请 的 唯一 公共 IP 地 址 125. 77. 100.1, 且 定义 关联 关系 的 时 候 要 
加 入 overload 命令 表示 内 部 主机 需要 重 载 、 复 用 该 唯一 的 内 部 全 局 地 址 访问 外 面 的 互联 
该 公司 申请 到 的 唯一 的 公共 IP 地 址 必须 用 于 NAT 路 由 器 的 外 部 接口 s0/070 ,所 以 ， 
还 可 以 有 另外 一 种 配置 方法 ,无 须 定 义 地 址 池 ,定义 完 标 准 ACL 允许 内 部 所 有 主机 后 , 直 

接 将 ACL 所 允许 的 内 部 主机 地 址 复 用 到 这 个 外 部 接口 上 ,在 全 局 配置 模式 下 ,使 用 命令 ip 
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nat inside source list 10 interface serial0/0/0 overload ,能 够 实现 相同 的 功能 。 

第 4 一 5 行为 静态 NAT 的 配置 命令 ,因为 只 有 一 个 单一 的 内 部 全 局 IP 地 址 
125. 77. 100.1, 所 以 只 能 根据 IP 地 址 以 及 TCP 或 UDP 端口 来 定义 静态 有 映射。 在 本 案例 
中 ,将 目的 地 址 为 125.77. 100. 1 和 目的 TCP 端口 为 80 的 数据 包 地 址 转换 成 TCP 端口 80 
上 的 192. 168. 100. 100 的 内 部 主机 地 址 , 即 该 公司 的 Web lr ar: 同时 ,还 将 目的 地 址 为 
125. 77. 100. 1 和 目的 TCP 端口 为 21 的 数据 包 地 址 转换 成 TCP 端口 21 上 的 
192. 168. 100. 101 的 内 部 主机 地 址 , 即 该 公司 的 FTP 服务器。 这 样 ,就 使 用 单一 的 内 部 全 
局 地 址 通过 不 同 的 端口 号 为 不 同 的 内 部 服务 右上 提供 了 Web 和 FTP 服务。 注意 的 是 ,该 
命令 语法 允许 指定 内 部 服务 器 的 IP 地 址 和 端口 ,所 以 可 以 在 内 部 提供 多 台 对 外 服务 器 ,如 
DNS, Email 服务 器 等 。 

第 6 一 9 行 配置 NAT 路 由 融 内 部 接口 fa0/0, 设 置 IP 地 址 为 192. 168. 100.1,NAT 方 
回 为 ip nat inside, 

第 10 一 13 行 配置 NAT 路 由 器 外 部 接口 s0/0/0 ,设置 IP 地 址 为 125. 77. 100. 1. NAT 
Jj In] JJ ip nat outside, 

即使 初创 公司 只 申请 到 一 个 全 局 可 路 由 的 公共 IP 地 址 ,通过 上 述 方法 也 会 使 Cisco 
NAT 的 功能 更 加 强大 。 


12.5.4 复杂 园区 网 项 目 
1. 应 用 环境 介绍 


高 新 园区 有 一 台 具 有 两 个 接口 的 边界 路 由 大 ,分 别 是 快速 以 太 网 接口 和 串 行 接口 ， 
fa0/0 连接 到 园区 内 部 网 络 , 而 串 行 接口 s0/0/0 则 通过 点 到 点 协议 (PPP) 链 路 连接 到 ISP 
路 由 融 。 在 内 部 网 络 中 ,园区 网 内 部 使 用 的 地 址 来 和 目 私 有 IP 地 址 空间 172. 16. 0. 0/16 ,该 
地 址 空间 在 Internet. 上 是 不 可 路 由 的 ,高 新 园区 管 委 会 向 ISP 申请 到 的 公共 IP 地 址 块 为 
125. 77. 10. 0/24. 21 7 E HH 38 3] ISP 的 PPP 链 路 两 端 使 用 来 自 185. 100. 100. 0/30 的 子 网 
地 址 ,如 图 12-8 所 示 。 高 新 园区 希望 在 边界 NAT 路 由 器 上 配置 合适 的 命令 ,以 便 内 部 用 户 
可 以 通过 使 用 有 效 的 .全 局 可 路 由 的 地 址 空间 125. 77. 10. 0/24 访问 互联 网 Internet, [n] 
时 ,高 新 园区 打算 在 边界 NAT 路 由 需 与 上 游 的 ISP 路 由 器 相互 交换 OSPF 路 由 更 新 信息 ， 
从 而 可 以 从 该 路 由 器 接收 默认 路 由 ,并 将 其 通知 ISP 路 由 器 。 

同时 ,高 新 园区 对 外 业务 繁忙 ,需要 多 台 Web 服务 器 对 外 提供 服务 。 因 此 ,在 园区 网 内 
部 ,设置 了 三 台 Web 服务 需 , 但 希望 对 于 外 网 主机 看 来 内 部 就 像 是 只 有 一 人 台 服 务 需 一 样 , 仅 
通过 一 个 全 局 地 址 125. 77. 10. 254/24 访问 Web 服务 。 


2. NAT 设计 


该 高 新 园区 内 部 使 用 私有 地 址 172. 16. 0. 0/16. [8] ISP. 申请 到 的 公共 IP 地 址 块 为 
125.77. 10.0/24, 很 容易 想到 可 以 设计 动态 NAT 转换 。 与 其 他 不 同 的 是 ,边界 NAT 路 由 
需 外 部 接口 s0/0/0 和 ISP 路 由 需 使 用 的 地 址 是 185. 100. 100. 0/30, 和 申请 到 内 部 全 局 地 
址 不 在 同一 个 子 网 ,而 又 需要 和 ISP 路 由 此 相互 交换 OSPF 路 由 更 新 信息 ,所 以 这 一 点 需要 
特别 注意 ,是 本 项 目 设计 的 难点 。 


Loopback 0: 125.77.10.1 
Web: 172.16.1.1-3— 125.77.10.254 
公共 IP 地 址 池 : 125.77.10.0/24 


互联 网 
V ISP 路 由 器 


185.100.100.0/30 


NAT Campus 
边界 路 由 器 


图 12-8 复杂 园区 网 项 目 示例 


同时 ,注意 到 内 部 有 三 台 Web 服务 器 需要 对 外 提供 服务 ,外 部 仅 通过 一 个 地 址 访问 进 
来 ,需要 设计 反 回 的 NAT 转换 ,一 个 内 部 全 局 IP 地 址 125. 77. 10. 254/24 映射 到 三 个 内 部 
私有 IP 地 址 上 。 


3. 配置 方法 


1 NATCampus(config) # interface fa0/0 

2 NATCampus(config-if)it ip address 172.16.1.254 255.255.255.0 

3 NATCampus(config- if) € ip nat inside 

4 NATCampus(config- if) 4 no shut 

5 NATCampus(config) # interface s0/0/0 

6 NATCampus(config- if) € ip address 185.100.100.1 255.255.255.252 

7 NATCampus(config- if) 4 ip nat outside 

8 NATCampus(config- if) & no shut 

9 NATCampus(config) # interface loopback 0 

10 NATCampus(config- if) # ip address 125. 77.10.1 255.255.255.0 

11 NATCampus(config- if) # ip ospf network point-to-point 

12 NATCampus(config) # ip nat pool Campus 125.77.10.2 125. 77.10. 253 netmask 255.255.255.0 

13 NATCampus(config)it ip nat pool Campus 125.77.10.2 125. 77.10. 253 pref ix- length 24 
// 以 上 两 条 命令 等 价 

14 NATCampus(config) # access-list 10 permit 172.16.0.0 0.0.255.255 

15 NATCampus(config) # ip nat inside source list 10 pool Campus 

16 NATCampus(config) # ip access-list 20 permit 125.77.10.254 //Web 服务 器 对 应 的 公共 IP 地 址 

17 NATCampus (config) # ip nat pool web 172.16.1.1 172.16.1.3 prefix- length 24 type rotary 
// 轮 询 方式 访问 

18 NATCampus (config) # ip nat inside destination list 20 pool web // 目 的 地 址 转换 

19 NATCampus(config) # ip route 125.77.10.0 255.255.255.0 nullO 

20 NATCampus(config) # router ospf 1 

21 NATCampus(config-router) # network 185.100.100.0 0.0.0.3 area 0 

22 NATCampus(config-router) # network 125.77.10.0 0.0.0.255 area 0 


4. 配置 命令 分 析 


在 本 项 目 中 ,我 们 换 一 种 配置 思路 ,可 以 先 配 置 边界 NAT 路 由 器 的 各 个 接口 并 注意 接 
OFE. S 1 一 4 行 , 先 配 置 连接 内 网 的 快速 以 太 网 接口 fa0/0, 分 配 私 有 IP 地 址 
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172. 16. 1. 254/24. NAT Jr I8 X ip nat inside; 第 5—8 行 , 再 配置 连接 ISP 的 外 部 串 行 接口 
s0/0/0 ,采用 内 部 全 局 地 址 185. 100. 100. 1/30, NAT 方向 为 ip nat outside, 

由 于 s0/0/0 接口 的 公共 IP 地 址 和 癌 ISP 申请 的 用 于 NAT 转换 的 公共 IP 地 址 池 不 在 
同一 个 子 网 ,这 种 情况 比较 特殊 ,需要 采用 一 种 特殊 方法 来 通告 ISP 路 由 带 有 关 动 态 NAT 
地 址 池 的 信息 。 这 种 方法 是 先 创 建 一 个 环 回 接口 (loopback) ,第 9 一 11 行 ,从 问 ISP 申请 到 
的 内 部 全 局 地 址 池 中 给 其 分 配 一 个 公共 IP 地 址 125. 77. 10. 1. 并 通过 将 network 
125. 77. 10. 0 0. 0. 0. 255 area 0 语句 将 该 地 址 宣告 到 OSPF 路 由 进程 下 面 , 从 而 将 该 环 回 地 
址 作为 OSPF 路 由 的 一 部 分 。 

注意 ,我们 将 用 于 环 回 接口 的 公共 IP 地 址 125. 77. 10. 1 从 NAT 池 中 拿 出 来 之 后 ,这 
时 动态 NAT 地 址 池 的 起 始 地 址 是 125. 77. 10.2, 从 而 减少 了 动态 NAT 池 的 地 址 和 用 于 环 
回 接 口上 的 公共 IP 地 址 重生 的 可 能 性 。 默 认 情 况 下 ,OSPF 将 环 回 接口 看 成 是 一 个 OSPF 
stub 网 络 ,并 且 将 接口 的 /32 位 网 络 作 为 路 由 处 理 ,而 非 整 个 子 网 , 即 OSPF 进程 会 发 送 
125.77. 10. 1/32 而 非 125. 77. 10. 0/24。 在 这 种 情况 下 ,在 环 回 接口 下 面 使 用 接口 命令 ip 
ospf network point-to-point 将 环 回 接口 设置 成 OSPF 点 对 点 类 型 ,告诉 OSPF 传送 该 接口 
的 路 由 ,就 像 该 网 络 是 点 到 点 网 络 一 样 ,而 不 是 一 个 stub 网 络 。 这 意味 着 ip ospf network 
point-to-point 命令 将 通过 OSPF 传送 整个 125. 77. 10. 1/32 网 络 信息 。 

接 下 来 定义 动态 NAT, 第 12 一 15 行 ,其 中 第 12 和 第 13 行 等 价 ,目的 是 定义 动态 NAT 
地 址 池 ,注意 125. 77. 10. 1 用 作 环 回 接口 ,125. 77. 10. 254 用 作对 外 Web 服务 器 建立 映射 。 
所 以 地 址 池 大 小 为 125. 77. 10. 2-253, prefix-length 24 的 作用 等 价 于 netmask 
255. 255. 255.0, 和 定义 前 面 IP 地 址 范围 的 大 小 ,第 14 行 定义 标准 ACL ,第 15 行 定 义 允 许 内 
网 主机 访问 动态 NAT 地 址 池 的 映射 关系 。 

然后 第 16 一 18 行 定义 对 外 提供 服务 的 服务 器 轮 询 方 式 配 置 。 要 使 得 外 部 访问 内 部 三 
台 Web 服务 器 像 访 问 一 台 一 样 , 需 要 对 应 到 一 个 内 部 全 局 IP 地 址 125. 77. 10. 254 上 , 则 外 
网 访问 Web 服务 器 的 目的 地 址 125. 77. 10. 254 ,在 边界 路 由 器 上 被 NAT 反 向 转换 到 内 部 
的 三 个 私有 IP 地 址 上 , 即 内 部 的 三 台 Web 服务 器 轮流 对 外 网 提供 服务 。 第 16 行 定 义 
ACL ,允许 全 局 IP 地 址 125. 77. 10. 254 能 够 被 外 网 访问 ,第 17 行 定 义 内 部 三 台 Web 服务 
器 的 私有 JIP 地 址 组 成 的 地 址 池 ,注意 命令 type rotary 表明 使 用 round-robin 策略 从 NAT 
池 中 取出 相应 的 私有 IP 地 址 用 于 转换 进来 的 IP 数据 包 , 即 采取 轮 询 的 方式 访问 内 部 Web 
服务 震 , 第 18 行 定义 目的 地 址 转换 ,用 inside destination list 堵 句 ,而 不 使 用 inside source 
list 语句 ,将 ACL 定义 的 全 局 IP 地 址 转换 到 内 部 Web 服务 硕 的 私有 IP 地 址 上 ,以 实现 通 
过 轮 询 的 方式 访问 内 部 Web HI As 38 . 

在 前 几 个 项 目 中 ,边界 NAT 路 由 器 的 外 部 接口 使 用 的 IP 地 址 是 向 ISP 申请 的 地 址 
块 / 池 中 的 公共 IP 地址 ,ISP 路 由 兹 能 够 耳 接 连接 到 分 配给 NAT 地 址 池 的 子 网 上 。 这 种 情 
况 下 ,ISP 路 由 器 只 发 出 一 个 ARP 请 求 , 以 请 求 NAT 地 址 池 中 的 单个 NAT 地 址 ,而 边界 
NAT EK ak MEH A CKI MAC 地址 来 啊 应 ,此 时 NAT 工作 正常 。 但 是 ,在 本 项 目 中 , 边 
界 NAT 路 由 器 和 上 游 的 ISP 路 由 器 之 间 使 用 185. 100. 100. 0/30 ,并 不 直接 连接 到 NAT 
地 址 池 125. 77. 10.0/24, 所 以 必须 告诉 ISP 路 申 硕 如 何 通 过 路 由 协议 或 静态 路 由 的 方法 到 
is NAT 地 址 池 所 在 的 了 网。 第 19—22 行 ,局 用 了 OSPF 并 且 为 125.77. 10. 0/24 重新 分 
配 一 条 前 态 路 由 到 OSPF 中 。 上 游 的 ISP 路 由 颖 会 接收 到 该 路 由 ,并 且 将 所 有 目的 地 址 为 
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NAT 池 中 地 址 的 数据 包 和 转发 到 路 由 带 中 。 然 后 ,ISP 路 由 融 可 以 配置 一 条 病态 路 由 ,用 来 
将 所 有 发 往 125. 77. 10. 0/24 网 络 的 数据 包 全 部 指 问 局 域 网 的 边界 NAT PH A o 

注意 : 一 个 大 型 局 域 网 通常 会 在 其 边界 路 由 器 和 ISP 路 由 器 之 间 运 行 外 部 边界 网 关 协 
议 (Border Gateway Protocol,BGP)。 本 例 选 择 OSPF 路 由 协议 ,目的 是 为 了 分 析 ip ospf 
network point-to-point 命令 是 否 正确 使 用 。 


42.6 实战 演练 


1. 实战 拓扑 图 


本 实战 拓扑 图 如 图 12-9 所 示 ,校园 网 共有 3 台 路 由 器 ,其 中 内 网 路 由 器 模拟 Web 服务 
作对 外 提供 服务 ,外 部 模拟 ISP 路 由 需 , 在 边界 路 由 关上 实施 NAT。 内 网 设计 两 个 
VLAN, 分 别 为 VYLAN20 和 VLAN30, 外 网 一 台 主 机 用 于 测试 。 


公共 IP 地 址 并 : 125.77.10.0/24 
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图 12-9 NAT 实 战 拓扑 图 


(1) 本 校园 网 内 部 使 用 私有 IP 地 址 , 192. 168. 10. 0/30, 192. 168. 20. 0/24 和 
192. 168. 30. 0/24 等 ,学校 回 ISP. 申请 了 一 个 全 局 公共 IP 地 址 池 ,为 125.77.10.0/24, 边 界 
路 由 器 与 ISP 路 由 器 共享 外 网 公共 IP 地 址 200. 200. 100. 0/30, 要 求 配 置 合适 的 NAT 技 
术 , 使 得 内 网 主机 能 够 顺利 访问 外 网 主机 PC3, 

(2) 在 内 部 交换 机 Sl 和 边界 路 由 器 R2 之 间 配 置 单 辟 路 由 ,使 内 网 全 网 互通 ,但 边界 路 
由 硕 不 能 与 ISP 路 由 帮 共 于 动态 路 由 协议 ,从 而 内 网 的 PC 不 能 访问 外 网 。 

(3) 在 边界 路 由 右 RZ 上 配置 默认 路 由 指 问 ISP 路 由 冀 , 使 其 可 以 访问 外 网 。 

(4) TEL EB EE HIS RI 上 关闭 路 由 功能 ,开启 HTTP 服务 ,用 于 模拟 Web 服务 器 。 

(5) 在 边界 路 由 器 R2 上 配置 静态 NAT, 实 现 PC3 能 够 访问 Rl1 BJ WWW 服务 。 

(6) 在 边界 路 由 器 R2 上 配置 动态 NAT, 实 现 PCI.PC2 能 访问 外 网 ,但 PC3 不 能 ping 
通 PC1,PC2, 
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(7) 删除 R2 配置 的 动态 NAT, 改 用 PAT, 实 现 PC1、PC2 能 访问 外 网 ,但 PC3 不 能 
ping 通 PC1,PC2, 


习题 与 思考 
1. 在 校园 网 的 边界 路 由 器 上 ,需要 将 边界 路 由 器 的 所 有 直 连 子 网 都 宣告 进 校园 网 的 路 


由 协议 进程 中 吗 ? 是 否 有 必要 和 外 部 网 络 共 享 校园 网 路 由 信息 ?为 什么 ? 
2. 通过 本 草 的 和 学习, 总结 在 什么 情况 下 使 用 静态 NAT、 什 么 情况 下 使 用 动态 NAT., 什 


么 情况 下 只 能 使 用 PAT。 
3. RAJ IPvo 吗 ? 它 的 编 址 规则 是 什么 ”在 IPv6 环境 下 ,还 需要 NAT RG? 为 
MA? 


4. 再 次 回顾 下 第 2 章 的 校园 网 整体 结构 图 ,本章 学 习 的 内 容 在 拓扑 图 的 哪个 位 置 可 以 
找到 原型 ? 第 3 一 11 章 可 以 从 哪里 找到 原型 ? 请 大 家 思考 。 


Cisco 实 验 模拟 器 安装 与 使 用 


为 了 满足 不 同 层 面 的 实验 需求 ,不 同 的 公司 开发 出 多 种 类 型 的 Cisco 实验 仿真 环境 , 常 
见 的 模拟 器 有 如 下 几 种 . Packet Tracer, GNS3, Web IOU 和 EVE-NG 每。 

(1) Cisco Packet Tracer Student, Cisco Packet Tracer Student 是 Cisco 官方 推出 的 模 
拟 器 软件 。 它 只 是 一 款 模 拟 Cisco 3 X9 28 dk p 83 Ak JE LE To FARRA, BRA 
运行 设备 镜像 ,只 能 模拟 一 些 设备 的 基础 功能 。 因 此 , 想 要 深入 学习 Cisco 网 络 知识 , 仅 使 
用 Packet Tracer 作为 学 习 软 件 是 远 远 不 够 的 。 

(2) GNS3。GNS3 是 一 款 具 有 图 形 化 界面 的 网 络 设备 模拟 软件 。 使 用 设备 IOS 镜像 
进行 模拟 。 因 此 可 以 模拟 绝 大 部 分 路 由 器 功能 ,但 是 对 交换 机 融 端 配置 的 模拟 有 所 欠缺 。 
同时 ,GNS3 对 CPU 和 内 存 的 资源 占用 比较 大 。 

(3) Web IOU, 3 Cisco 官方 的 CCIE 考试 模拟 器 Cisco IOU 变化 而 来 ,基于 Ubuntu 
系统 ,所 以 安装 时 的 命令 大 部 分 与 Linux 相似 ,使 用 时 以 浏览 器 Web 登录 的 方式 ,拓扑 的 搭 
建 和 设备 的 配置 都 在 Web 界面 中 操作 ,占用 的 CPU 和 内 存 资源 小 。 使 用 者 可 以 根据 实验 
需要 自己 导入 IOL 镜像 对 设备 进行 模拟 。 

(4) EVE-NG, EVE-NG 可 以 说 是 Web IOU 的 升级 版 。 在 模拟 Cisco 网 络 设 备 的 同 
时 ,加 入 了 防火 墙 、 操 作 系 统 的 模拟 功能 ,只 要 导入 镜像 文件 , 便 可 以 实现 模拟 。 同 时 在 安装 
和 使 用 的 方式 上 也 更 加 便利 。 由 于 EVE-NG 在 近 几 年 内 得 到 了 广大 网 络 学 习 者 的 青睐 , 许 
多 论坛 和 官网 都 有 详细 的 使 用 方式 和 资源 分 享 , 对 于 想 要 深入 学 习 的 同学 ,EVE-NG 是 一 
款 值 得 推荐 的 模拟 器 。 

下 面 重点 介绍 两 种 模拟 器 ,便于 同学 们 可 以 在 御 舍 、 家 里 等 无 真 机 的 环境 下 完成 本 书 所 
有 实验 。 


A.1 Cisco Packet Tracer Student 


Cisco Packet Tracer Student 是 Cisco 官方 推出 的 便于 网 络 初学 者 使 用 的 网 络 模拟 需 
AK FF . SC EIE RH s LOS IRL. Bj Js HA der e HJ AER BOE. 

Cisco Packet Tracer Student 的 最 新 安装 包 已 经 上 传 到 百度 云 : https://pan. baidu. 
com/s/1BZ-b Lzg onaQKBmCOTdkg.2E fi: uz34。 

下 载 安 衣 好 。 下 面 按照 步骤 简要 介绍 如 何 使 用 Cisco Packet Tracer Student. 

Cisco Packet Tracer Student 模拟 希 安 狗 完成 后 ,打开 软件 ,显示 操作 界面 ,如 图 A-1 所 


附录 A _ Cisco 实验 模拟 器 安 效 与 使 用 


示 。 空 日 处 可 以 搭建 网 络 拓扑 结构 ,其 网 络 设 备 和 链 路 可 以 从 下 方 设备 选 型 处 选择 , 单 击 鼠 
标 选 中 设备 并 拖 到 上 方 空 日 处 , 松 开 鼠标 即 完成 设备 选 型 ,同样 方法 可 以 选择 不 同 的 链 路 ， 
并 将 各 设备 连接 好 。 
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A-1 Cisco Packet Tracer Student 操作 主 界 面 
在 控制 界面 下 方 的 设备 类 型 处 ,包含 如 下 几 种 主要 的 设备 类 型 。 
1. 路 由 器 


单 击 左 侧 上 排 的 第 一 个 路 由 器 图 标 , 在 右边 会 显示 模拟 器 文 持 的 所 有 系列 的 路 由 器 ,如 
图 A-2 所 示 , 可 以 根据 实验 需要 选择 适当 的 型 号 。 
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| Fo ee | — VF LEEEm C DOm-— 07 E m] ^ iJ 

号 之 四 上 四季 3s.» C090» (09 0» rs 

| 1841 | | 1941 | |2620 G2z1xM | 2811 | | 2901 | | 2911 ! | Bi19 | (Generic) Generic 
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2. 交换 机 


单 击 左 侧 上 排 第 二 个 交换 机 图 标 ,在 右边 显示 模拟 需 文 持 的 各 种 不 同型 号 的 交换 机 供 
同学 们 选择 ,如 图 A-3 Bron. 
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3. 连接 方式 


单 击 左 侧 上 排 第 五 个 为 线路 连接 方式 图 标 ,可 以 根据 需要 选择 各 种 不 同类 型 的 线路 ,如 
图 A-4 所 示 。 


a 


Connections 


A-4 Cisco Packet Tracer Student 支持 的 各 种 线路 类 型 


4. 终端 设备 


单 击 左 侧 下 排 第 一 个 终端 设备 图 标 , 可 以 选择 各 种 不 同类 型 的 终端 设备 ,如 图 A-5 
所 示 。 
单 击 其 他 图 标 可 以 根据 需求 进行 相应 设备 的 选择 。 


Time: 00:04:06 
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图 A-5 Cisco Packet Tracer Student 文 持 的 各 种 终端 设备 类 型 


熟悉 各 种 设备 、 线 绕 和 终端 类 型 后 ,就 可 以 根据 实验 需求 选择 设备 设计 网 络 拓扑 结构 
了 ,如 图 A-6 所 示 。 选 择 完 设 备 并 与 线 统 连接 后 , 线 绕 会 目 动 检测 两 端 设备 的 通信 情况 。 
由 于 尚未 对 设备 进行 配置 , 线 缆 的 两 端 会 显示 红 点 ,表示 该 接口 还 没有 配置 或 者 两 端 配 置 不 
匹配 ; 如 果 配 置 正确 , 则 红 点 会 转变 为 绿色 办 烁 。 

完成 拓扑 搭建 后 , 单 击 对 应 设备 ,在 CLI 界面 可 以 对 设备 进行 配置 操作 : 图 A-7 为 路 由 
器 的 CLI 配置 界面 ,图 A-8 为 交换 机 的 CLI 配置 界面 。 

Cisco Packet Tracer Student 的 功能 相对 其 他 模拟 硕 较 为 简单 ,所 以 安 交 和 使 用 也 相对 
容易 ,但 是 因为 Cisco Packet Tracer Student 仅 用 软件 来 模拟 Cisco 设备 ,而 不 是 用 真正 的 
IOS 镜像 ,所 以 只 能 文 持 一 些 基础 的 配置 命令 。 

下 面 介 绍 一 款 功 能 强大 的 模拟 器 EVE-NG, 这 款 模 拟 器 可 以 实现 几乎 所 有 Cisco 真 机 
设备 的 功能 。 
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图 A-6 选择 设备 搭建 简单 拓扑 结构 
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Physical Config CLI 


IOS Command Line Interface 


IÈR bytes o ATA | 
Cisco IOS Software, 2800 Software (C2800NM-ADVIPSERVICESES-M), Version 12.4(15)Tl1, 
RELEASE SOFTWARE (fcz) 
Technical Support: http-//www.cisco.com/techsupport 
Copyright (c) 19586-2007 by Cisco Systems, Inc. 
Compiled Wed l8-Jul-07 06:21 by pt rel team 


-——- System Configuration Dialog 一 一 一 


Continue with configuration dialog? [yes/no]: 
& Please answer "'yes' or 'no'. 
Continue with configuration dialog? [yes/no]: 
& Dlease answer 'yes' or 'no'. 
Continue with configuration dialog? [yes/no]: 
& Please answer 'yes' or 'no'. 
Continue with configuration dialog? [yes/no]: 
& Please answer 'yes' or 'no'. 
Continue with confiquration dialog? [yes/no]: 
& Please answer 'yes' or 'no'. 
Continue with configuration dialog? [yes/no]: 


Press RETURN to get started! 


Router- 
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SP Switch0 


Physical Config 


IOS Command Line Interface 


lop Assempoly Part Number 
Top Assembly Revision Number 
Version ID 

CLEI Code Number : COH3E00BRA 
Hardware Board Revision Number  : OxÜül 


SW Version 


Cisco IOS Software, C2560 Software (C2596G0-LANBASE-M), Version 12.2(25)FX, RELEASE 
SOFTWARE (£cl) 


Copyright (c) 1586-2005 by Cisco Systems, Inc. 
Compiled Wed lz-Oct-05 22:05 by pt team 


Press RETURN to get started! 


&LINE-5-CHANGED: Interface FastEthernet0/3, changed state to up 


*"SLIHEPROIO-5-UPDOWN: Line protocol on Interface FastEthernetÜ0/3, changed state to 


图 A-8 交换 机 的 CLI 配 置 界 面 
au 


EVE-NG 是 一 款 功 能 强大 的 模拟 器 ,不 仅 可 以 用 于 模拟 网 络 设备 ,也 可 以 搭建 其 他 虚 
拟 机 ,例如 Linux, Windows, MAC, Pi kii. H FEP IEA m t ,此 处 只 介绍 EVE-NG 作 
为 Cisco P H IEH Vx EER M s BJ ERE FH XEF EVE-NG 的 详细 介绍 可 以 进入 中 文 论 
坛 和 官网 进行 详细 了 解 。 

EVE-NG 中 文 论 坛 : http://www. emulatedlab. com. 

EVE-NG E hd]. http://eve-ng. net/ 。 

在 安装 和 使 用 EVE-NG 之 前 ,需要 先 准 备 好 两 个 软件 : VMware Workstation 和 
PuTTY, 

VMware Workstation 用 于 搭载 EVE-NG $ Hay, PUTTY 用 于 终端 软件 对 设备 进行 
配置 。 由 于 VMware Workstation 和 PuTTY 安装 较为 简单 , 进 和 人 对 应 官网 便 可 下 载 ,这 里 
不 做 介绍 。 

EVE-NG 有 两 种 安装 方式 一 种 为 ISO 光盘 ,一 种 为 OVA 虚拟 机 模版 。 这 里 以 OVA 
形式 为 例 。 

资源 链接 : https://pan. baidu. com/s/1HaL-rBfejHYwZeDANYXxmA , 黎 码 : ic2z, 社 
区 版 -86 已 经 上 传 百度 云 , 如 图 A-9 所 示 。 


(f& EVE Community Edition-2.0.3-86 2017/11/2 22:13 HEB mE... 1,845,012 


图 A-9 EVE 社 区 版 -86 
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EVE-NG 的 官网 地 址 为 http://www. emulatedlab. com/eve-ng. 
1. 导入 EVE-NG 
单 击 下 载 好 的 EVE-NG ova, FA VMware Workstation 中 ,虚拟 机 名 称 和 存储 路 径 可 
以 自己 选择 ,如 图 A-10 和 图 A-11 所 示 。 
Eget 


TEIRA ERYL 
AA ERA ER AET d o 


MEEL EPRA): 


| EVE Community Edition-2.0.3-68 | 
新 虚拟 机 的 存储 路 径 (P): 
C:UsersizjDocumentsVirtual Machines\EVE Corr 


| O WÄ | 
图 A-10 将 EVE-NG ova 导 作 虚拟 机 


VMware Workstation 


正在 导入 EVE Community Edition-2.0.3-68 


图 A-11 正在 导 人 虚拟 机 


2. 分 配 模 拟 器 资源 
叶 人 人 完成 后 ,为 EVE 分 配 模拟 融资 源 。 因 为 EVE-NG BI EE Tg ais 2J KVM 运行 的 
F5 JISE 等 虚拟 机 ,所 以 它 对 内 存 的 要 求 特别 高 ,一般 为 上 VE-NG 2r BÉVATE 2g 4—6G. A 5 
CPU 也 会 对 EVE 的 运行 造成 一 定 的 影 啊 。 
单 击 编辑 虚拟 机 设置 ,如 图 A-12 所 示 。 
T En * | D EVE Community Edition-2... X 


44 EVE Community Edition-2.0.3-68 


P 开启 此 虚拟 机 


laszibsisGikibcaRs4RGRIGGRXRGRRAG4 bisibisi ai Biisi i iaiia Biia i Bai EGICG4mAPGAZÁ»ERRCG aa Bi aiidis 


局 硕 盘 (SCSI) 30 GB 
ESI RE 桥接 模式 (自动 ) 
图 use 控制 器 。 ”存在 

Ili 27785 1 个 监视 器 


262, ”路 由 交换 技术 与 实验 
NA, 


推 存 分 配 内 存 为 4 一 6G,CPU 数量 为 4, 网 络 适 配 表 模式 为 目 定 义 (vmnet8-nat 模式 )， 
如 图 A-13 所 示 。 


硬件 ”选项 
设备 状态 


NA ^i ES) 

同 处 理 器 [^] 启动 时 连接 (D) 
=m (SCSI) 30GB — EN u 

C PERGEBIES HE s (VMnetB) Podz ERE 


USB 控制 器 O 桥接 模式 (B): 直接 连接 物理 网 络 
l Fore 


TENEIRE RECP) 
O NAT 模式 (N): 用 于 共享 主机 的 IP 地 址 
O 公主 机 模式 (H): 与 主机 共享 的 专用 网 络 
© 自 定义 (U): 特定 虚拟 网 络 

VMnet8 (NAT 模式 ) 
OLAN ERW: 


LAN KFR(S)... 


ADICA)... 


图 A-13 虚拟 机 设置 


3. EVE 初始 化 配置 


EVE 初始 化 配置 包含 如 下 8 个 步骤 。 
(1) 打开 虚拟 机 ,用 初始 账号 root, 25 85 eve 进行 登录 ,如 图 A-14 所 示 。 
m) 主 而 (y. EVE Community Edition-2.... 


Eue-NG (default root password is 'eve') 
Use http:77192.168 .228 .129/ 


WARNING: neither Intel UT-x or AMD-U found 


eue-ng login: root 
Password: _ 


图 A-14 EVE 登录 设置 


(2) 修改 EVE 登录 密码 ,如 图 A-15 Bron. 

(3) 修改 主机 名 hostname. SRA Bf nf . n] A-16 所 示 。 

(4) 修改 DNS 域名 ,默认 即 可 ,如 图 A-17 所 示 。 

(5) 选择 IP 地 址 获取 方式 ,选择 DHCP 获取 ,如 图 A-18 Bron. 
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A-15 ”修改 EVE 登录 密码 图 A-16 ”修改 主机 名 


图 A-17 修改 DNS 域名 图 A-18 ”IP 地址 获取 方式 


(6) 选择 NTP 方式 ,默认 即 可 ,如 图 A-19 所 示 。 
(7) 选择 接 入 Internet 连接 方式 ,默认 即 可 ,如 图 A-20 所 示 。 


A-19 ”选择 NTP 方式 图 A-20 A Internet 连接 方式 


初始 化 配置 完成 后 , 便 可 以 用 浏览 颖 (推荐 使 用 火狐 
D 92s) EA EVE 界面 ,网 址 为 EVE 获取 的 IP Hh, Bp 
http;//192. 168. 228. 130 ,如 图 A-21 Brz K| A-21 进入 EVE 的 IP 地址 

默认 用 户 名 为 admin, 密 码 为 eve, 如 图 A-22 所 示 。 

登录 成 功 后 ,进入 系统 中 ,可 以 设置 多 个 实验 项 目 , 每 个 项 目 都 可 以 进行 单独 的 文件 管 
理 , 如 图 A-23 所 示 。 

由 于 没有 导入 IOL 镜像 ,目前 还 无 法 进行 拓扑 的 搭建 和 实验 。 下 面 介 绍 如 何 导 入 TOL 
镜像 文件 。 


4. EVE 导入 IOL 镜像 


相关 工具 和 所 需 IOL 镜像 文件 已 经 上 传 百 度 云 。 

相关 工具 链接 : https://pan. baidu. com/s/110qR-2FSdnJEl6uhz44cgg 密码 : svzk, 

IOL 镜像 文件 链接 :; https://pan.baidu.com/s/1t5s86yRwJcm2YgzE4muN9Q 密码 : 
q203, 
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NF 


2.0.3-86 


EVE-NG Toolkit 20180325a 


Sign in to start your session 


Native console 


图 A-22 EVE% xJ M 


ih File manager current positian 


Choose a lab for more info 


图 A-23 EVE 文件 管 理 主 界面 


用 Winscp 连接 EVE, 如 图 A-24 所 示 。 

将 下 载 好 的 IOL 镜像 文件 和 CiscoIOUKeygen E f£ $l/opt/unetlab/addons/iol/bin H 
录 下 ,大 部 分 Cisco 设备 的 IOL 都 是 由 Linux 封装 。L2 为 三 层 交 换 机 ,L3 为 路 由 器 ,如 
图 A-25 所 示 。 

上 传 完 成 后 ,需要 对 IOL 文件 的 读 写 权限 进行 修改 ,类 似 Linux 的 命令 ,如 图 A-26 
所 示 。 


/opt/unetlab/wrappers/unl wrapper - a fixpermissions 


附录 A 


Session 
File protocol: 
SFTP 


Host name: 


Port number: 


192. 168, 228. 130 | 22 J 


User name: Password: 


oot 


Save | 


图 A-24 Winscp 连接 EVE 


,| B EVE - root£192.168.228.130 - WinSCP 
| Local Mark Files Commands Gession Opbons Remote Help 
MS ES e» Synchronize PI ga Ez e ent Queue * Transfer Settings Default & - 


= roctqp192. 158.228.130 = Mew Sesmon 


Advanced... Y 


Do: actas CRIT] e- 56 A a bin [Em o - E Em für mE 区 Find Files | 


[M Upload = X aå Oi Properties | EF [i E [7] [V] 
fopt/unetlab/addens/fiel/bin 
Name i 
P CiscelOUKeygen.py 
IOS; £3 iB&bi-linux-[2-adventerprisek9-15.1a. bin 
15 VMware-workstation-full-12.5.6-5528349.&xe 414,537 KE 应 用 | SiBebi-linux-D2-ipbasek9-15.1a.bin 
(gEVE-NG 模 披 器 去 装 党 南 partl.pdf 723 KB B iB6bi-linux-I2-upk9-12.2.bin 
-EVE Community Edition 2.0.3-68 SPOTO,.cova 2,108,130 KB 前 | Se iBObi-linux-[2-upk9- 15.0a.bin 
gi EVE Community Edibion.ova 1,373,379 KB W | bibi -Imux-I3-adventerprisek9- 12,4. bin 
2 iBbi-linux-I3-adventerprisek9-15,2.2,15TJban 
e iBbi-Iinux-D3-adventerprisek3-15.2.4M1.bin 
£3 iB6bi-linux-D3-adventerprisek9-15.4.1T.bin 
| ioure 
Ø L2.bin 


£9 L3.bin 


€ * | 


E7 [dg iE 


2 KB 
71,022 
60,473 
35,382 
37,145 
91,388 
125,851 
128497 
148.100 

1 KB 
110,875 
155,516 
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Changed 
2017/4/11 8:0 
2014/5/22 10: 
2014/3/17 
2014/23/17 
2014/3/17 1 
2014/3/17 
2014/23/17 11; 
2014377 11; 
2014/73/17 11: 
2014/3/17 11: 
2018/3/29 15; 
2018/3/28 22: 
2018/3/28 22: 


1:16 


42:55 


T:0CE CK] 
10000 
10000 
1:00:00 


1:00 
T00 
OO0:00 
CORO 
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20:49 


Rights 
MANT- -X 
P-e 
MAWT -Xf-Xx 
PAKT -WT -H 
FWXI -XF-X 
PWEI- Xr 
FWXI-XI-X 
| -XxI-X 
[ -XI-X 
PWET -XI-X 
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Demer 
root 
root 
root 
root 
root 
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root 
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图 A-25 导入 IOL 镜像 文件 


Eve-NG (default root password is 'eve') 
Use http:^^/192.168.228.130^ 


WARNING: neither Intel UT-x or AMD-U found 
eve-ng login: root 


Password: 
Last login: Fri Sep 7 11:13:42 EEST Z018 on ttyi 


Welcome to Ubuntu 16.04.4 LIS (GNU/Linux 4.9.40-evue-ng-ukms-zZ* xB8b 64) 


* Documentation: M https:^/^/help.ubuntu .com 
* Management : https:^^/landscape.canonical.com 
* Support: https :^^Zubuntu. .comadvantadge 
rootBeue-ng: # 
rootB8eeue-ng: # 
rootBeue-ng: # ^opt^unetlab^/urappers^/unl urapper -a fixpermis 


rootBeue-ngj: H 


图 A-26 修改 读 写 权限 
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5. 使 用 EVE 进行 模拟 实验 


上 述 配置 完 后 , 即 可 用 EVE 进行 近似 于 真 机 的 模拟 实验 。 主 要 包含 如 下 步骤 ， 
CD 创建 拓扑 文件 夹 。 当 IOL 导入 完成 后 ,再 次 登录 EVE, 单 击 Add New lab ,创建 新 
的 拓扑 文件 夹 , 如 图 A-27 所 示 。 


图 A-27 创建 新 的 拓扑 文件 夹 
(2) 选择 设备 。 单 击 Node, 可 以 选择 所 需要 的 实验 设备 ,如 图 A-28 所 示 。 
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图 A-28 "iti Node 可 以 添加 设备 


单 击 Cisco IOL ,出 现 空 日 条 框 ,如 图 A-29 所 示 。 

选择 IOL 镜像 版 本 ,设置 设备 名 称 和 图 标 ,选择 分 配 的 内 存 空间 ,以 及 以 太 网 卡 和 串 行 
口 数量 ,如 图 A-30 所 示 。 

(3) 连接 设备 。 拖 动 设备 图 标 旁边 的 插头 ,可 以 完成 设备 的 连接 ,如 图 A-31 所 示 。 

可 以 选择 连接 的 接口 类 型 和 接口 号 ,如 选择 路 由 带 R1 的 e0/0 接口 连接 交换 机 SW 的 
e0/0 接口 ,如 图 A-32 所 示 。 

(4) 开局 设备 进行 配置 。 选 择 某 个 设备 , 单 击 Start Selected 按钮 , 便 可 开局 设备 ,如 
图 A-33 Brzn . 
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Template 


Nothing selected 


Nothing selected 
Cisco IOL 
Linux 


Virtual PC (VPCS) 


图 A-29 "i Cisco IOL 


Template 


Cisco IOL 


Number of nodes to add Image 


1 iB6bi-linux-I3-adventerprisek9-15.4.1T.bin = 


Name/prefix i&6bi-linux-I3-adventerprisek9-12.4.bin 
R iB6bi-linux-I3-adventerprisek9-1 5.2.2.15T.bin 
iB6bi-linux-I3-adventerprisek9-15.2.4M1.bin 


icon 


i86bi-linux-I3-adventerprisek9-15.4.1T.bin — , 
a9 Routerpng ! 


NVRAM (KB) RAM (MB) 


1024 1024 


Ethernet portgroups (4 int each) Serial portgroups (4 int each) 


1 Ü 


Startup configuration 


None 


Delay (s) 
Ü 


Left 


E Cancel 


图 A-30 配置 新 的 设备 
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图 A-31 设备 连接 


Source ID: 1 


Source Name: R1 
type - Node 
Choose Interface For R1 


e0/0 


Choose Interface For SW 


e0/0 


Destination ID: 4 
Destination Name: SW 


type - Node 


E Cancel 


图 A-32 选择 设备 连接 接口 


Group of R1, R2, R3, SW 
> Start Selected 
ll Stop Selected 
名 Wipe Selected 


- Console To Selected Nodes 


$ Export all CFGs 
I$ Set nodes startup-cfg to exported 


Ei Set nodes startup-cfg to none 


i Delete nodes startup-cfg 


面 Delete Selected 


图 A-33 EST MAU Sr 
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单 击 对 应 议 备 , 便 可 用 PuTTY 对 设备 进行 配置 ,界面 和 CLI 是 拓 似 的 ,和 真 机 配置 界 


面 是 完全 一 样 的 ,也 是 命令 行 形 式 , 如 图 A-34 所 示 。 


EE = O X 
Ethernet0/2 unassigned Y n administratively 
'Ethernet0/3 unassigned S unse administratively 


Iseriall/0 unassigned Ins administratively 


‘Seriall/1 unassigned ES u administratively 


Seriall/2 unassigned : inse administratively 
Seriall/3 unassigned n: administratively 


Router (config) # 

Router (config) # 

Router (config) #int e0/0 

Router ({config-if)#no sh 

Router(config-if)ino shutdown 

Router(config-if)flip add 1.1.1.1 255.255.255.0 

*Sep 8 07:19:49.376: £LINK-3-UPDOWN: Interface Ethernet0/0, changed state to up 
*Sep 8 07:19:50.381: $LINEPROTO-5-UPDOWN: Line protocol on Interface Ethernet0/ 
0, changed state toe up 

Router (config-if)#ip add 1.1.1.1 255.255.255.0 

Router (config-if)ig 


图 A-34 对 设备 进行 配置 的 命令 行 界面 


这 里 只 介绍 了 EVE 作为 Cisco 网 络 设备 模拟 器 时 的 使 用 方法 ,如 果 同 学 们 感 兴趣 ,在 
学 习 的 过 程 ， dni EVE 进行 深入 的 学 习 。 


L1] 
L2 ] 


L3] 


L4] 
L5] 
L6] 
LT ] 
L8] 
L9] 
[10] 
[11] 
[12] 
[13] 
[14] 
[15] 


[16] 
[17] 


[18] 
[19] 
[20] 
[21] 


[22] 
[23] 


[24] 
[25] 


[26] 


[27] 
[28] 
[29] 
L30] 
L31] 
L32 ] 
(33 ] 
L34 ] 
L35] 
[36] 
L37] 


参考 文献 


Todd Lammle. CCNA 学 习 指 南 LMJ. REE., 徐 宏 译 . 7 版 . 北京 : 人 民 邮 电 出 版 社 ,2012. 
叶 阿 勇 . 计算 机 网 络 实验 与 学 习 指 导 一 一 基于 Cisco Packet Tracer 模拟 需 [M]. 北京: 电子 工业 出 版 
tt. ,2014. 
WF Buy 58 , 顿 会 霞 , 张 顶 萍 , 等 .计算 机 网 络 实 验 与 学 习 指 导 : 基于 Cisco Packet Tracer Bi W 25 [ M]. 
2 版 . 北京 : 电子 工业 出 版 社 ,2017. 
赖 会 霞 . 中 小 型 企业 网 络 构建 LMDJ. 北京 : 科学 出 版 社 ,2016. 
BPT AR, ER. 网 络 工程 设计 与 系统 集成 [Mj]. 3 版 . 北京 : 人 民 邮 电 出 版 社 ,2014. 
HR, HEr. 趣 学 CCNA: 路 由 与 交换 [M1]. 北 京 : 人 民 邮 电 出 版 社 ,2015. 
梁 广 民 , 王 隆 杰 . 思科 网 络 实 验 室 CCNA 实验 指南 LMJ. 北京 : 电子 工业 出 版 社 ,2009. 
WOR EER. 思科 网 络 实验 室 CCNP[M]. 北京 : 电子 工业 出 版 社 ,2012. 
WEKE. 思科 CCNA 认证 详解 与 实验 指南 [Mj]. 北京 : 电子 工业 出 版 社 ,2014. 
Gary Heap. CCNA 实验 指南 LMj]. Jb sk: 人 民 邮 电 出 版 社 ,2002. 
ÆJ Æ. CCNA 学 习 与 实验 指南 [LM]j. 北京 : 电子 工业 出 版 社 ,2012. 
王道 论坛 组 . 2019 年 计算 机 网 络 考研 复习 指导 [Mj]. 北京 : 电子 工业 出 版 社 ,2018. 
S. 计算 机 网 络 [Mj].6 版 . 北京 : 机 械 工 业 出 版 社 ,2013. 
TRUN , 单 男 , 张 晓 燕 . 现代 交换 技术 LMJ. 2 版 . 北京 : 北京 邮电 大 学 出 版 社 ,2014. 
W. Richard Stevens, TCP-IP 详解 卷 1: 协议 [LM]. 范 建 华 , 表 光辉 ,张涛 ,等 译 . 北京 : 机 械 工业 出 
版 社 ,2000. 
W Richard Stevens, TCP/IP 详解 3$ 2. 实现 [MD . 陆 雪 莹 ,等 译 . 北京 , 机 械 工业 出 版 社 ,2004. 
W Richard Stevens. TCP/IP 详解 着 3, TCP 事务 协议 ,HTTP.NNTP 和 UNIX 域 协议 | M ]. 88 267 FI 
等 , 译 . 北京 : 机 械 工 业 出 版 社 ,2000. 
BH. SEA Linux 4A Bj 3€ —— Hg 2$ d ix BS [M ]. 3 版 .北京 : 机械 工业 出 版 社 ,2012. 
徐 敬 东 , 张 建 忠 , 张 建 .计算 机 网 络 实验 指导 书 [M]. 北京 : 清华 大 学 出 版 社 ,2005. 
沈 玩 刊 .计算 机 网 络 搁 术 及 应 用 和 学习 辅导 和 实验 指南 [Mj]. 北京 : 清华 大 学 出 版 社 ,2011. 
Wendell Odom, 思科 网 络 技术 学 院 教程 CCNA 1 网 络 基础 [M]. 北京 邮电 大 学 思科 网 络 技术 学 院 ， 
译 . 北京 : 人 民 邮 电 出 版 社 ,2008. 
刘易斯 .思科 网 络 技术 学 院 教 程 CCNA 3 交换 基础 与 中 级 路 由 LMJ. 北 京 : 人 民 邮 电 出 版 社 ,2008. 
Allan Reid, 思科 网 络 技术 学 院 教 程 CCNA 4 广域网 拉 术 LMJ. 北京 邮电 大 学 思科 网 络 技术 学 院 ， 
PE. 北京 : 人 民 邮 电 出 版 社 ,2008. 
Henry Benjamin, CCNP 实战 指南: 路 由 LM]. 刘 忠 庆 , 译 . 北京 : 人 民 邮 电 出 版 社 ,2004. 
Wendell Odom, CCENT CCNA ICNDI 100-105 认证 考试 指南 [M]. 欧阳 宇 , 译 . 5 版 . 北京 : 人 民 
邮电 出 版 社 ,2018. 
Cisco Networking Academy. 思科 网 络 技术 学 院 教 程 .CCNA 安全 [Mj]. 北京 邮电 大 学 思科 网 络 技 术 
"Epi. VE. 2 版 . 北京 : 人 民 邮 电 出 版 社 ,2013. 
"Epp. 能 金波 . 复杂 网 络 环境 下 访问 控制 技术 LMDJ .北京 : 人 民 邮 电 出 版 社 ,2016. 
百度 百科 : https://baike. baidu. com/. 
维基 百科 : https://www. wikipedia. org/. 
51CTO: http://www. 5lcto. com/. 
CSDN: https://www. csdn. net/. 
Linux 公社 : https://www. linuxidc. com/. 
博客 园 : https://www. cnblogs. com/. 
EVE-NG FP witz: http://www. emulatedlab. com/. 
即时 通讯 : http://www. 52im. net/. 
豆 办 读书 : https://book. douban. com/. 
图 灵 社 区 : http://www. ituring. com. cn/. 


图 书 人 资源 支持 


感谢 您 一 直 以 来 对 清华 版 图 书 的 支持 和 爱护 。 为 了 配合 本 书 的 使 用 ,本 书 
提供 配套 的 资产 ,有 需求 的 读者 请 扫 朱 下 方 的 " 书 圈 向 信人 公众 号 二 维 码 ,在 多 
书 专区 下 载 , 也 可 以 拨打 电话 或 发 送 电子 邮件 咨询 。 

如 果 您 在 使 用 本 书 的 过 程 中 遇 到 了 什么 问题 ,或 者 有 相关 图 书 出 版 计划 ， 
也 请 您 发 邮件 告诉 我 们 ,以 便 我 们 更 好 地 为 您 服务 。 


一 a ima - - =- i=" - -— i -— mcd "mai t ima ima ‘== m - - - =" - - =mi 


资源 下 载 、 样 书 申请 


| br i n Li 


我 们 的 联系 方式 : 

地 H: 北京 市 海淀 区 双 清 路 学 研 大 厦 A 座 701 
H5 编 : 100084 

电 ik: 010-83470236 010-83470237 
资产 下 载 : http://www. tup. com. cn 


客服 邮箱 : 2301891038@qq.com 


QQ: 2301891038 ( 请 写 明 您 的 单位 和 姓名 ) 


用 微 信 扫 一 扫 右 边 的 二 维 码 , 即 可 关注 清华 大 学 出 版 社 公众 号 BIS 


